Botnet Auteurs Crash Sites WordPress avec Buggy Code

Les webmasters qui trouvent un message d'erreur ennuyeux sur leurs sites ont peut-être pris une grande pause, grâce à une erreur des auteurs du botnet de Gumblar.

Des dizaines de milliers de sites Web, dont de nombreux petits sites le logiciel de blogs WordPress, ont été brisés, retournant un message "erreur fatale" au cours des dernières semaines. Selon les spécialistes de la sécurité, ces messages sont en fait générés par un code malicieux que les auteurs de Gumblar leur ont glissé.

Gumblar a fait les gros titres en mai sur des milliers de sites Web légitimes, publiant ce qu'on appelle le code "drive-by download" qui attaque les visiteurs infectés avec une variété d'attaques en ligne. Le botnet avait été calme en juillet et en août, mais a récemment commencé à infecter des ordinateurs.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

Apparemment, quelques modifications récentes ont été apportées au code Web de Gumblar. Le problème, selon Denis Sinegubko, chercheur indépendant en matière de sécurité.

Sinegubko a été informé de la situation il y a cinq jours lorsqu'il a été approché par l'un des utilisateurs de son outil de vérification du site Web Unmask Parasites. Après enquête, Sinegubko a découvert que Gumblar était à blâmer. Les auteurs de Gumblar ont apparemment apporté quelques modifications à leur code Web sans effectuer les tests appropriés, et par conséquent, "la version actuelle de Gumbar rompt efficacement les blogs WordPress", écrit-il dans un article décrivant le problème.

juste affecter les utilisateurs WordPress, a déclaré Sinegubko. «Tout site PHP avec une architecture de fichiers complexe peut être affecté», a-t-il déclaré via un message instantané.

Les sites WordPress qui ont planté à cause du code bogué affichent le message suivant: Erreur fatale: Impossible de redéclarer xfm () /path/to/site/index.php(1): eval () 'd code: 1)

dans /path/to/site/wp-config.php(1): code eval ()' d sur ligne 1

D'autres sites exécutant des logiciels tels que Joomla reçoivent différents messages d'erreur fatale, a déclaré Sinegubko. "C'est une erreur PHP standard", a-t-il déclaré. "Mais la façon dont Gumblar injecte des scripts malveillants fait toujours afficher des chaînes comme: eval () 'd code sur la ligne 1"

Le bug peut sembler ennuyeux pour les webmasters, mais c'est en fait un avantage. En effet, les messages avertissent les victimes de Gumblar qu'ils ont été compromis.

Le fournisseur de sécurité FireEye a déclaré que le nombre de sites piratés pourrait être de plusieurs centaines de milliers. "En raison du fait qu'ils sont buggés, vous pouvez maintenant faire cette recherche Google et vous pouvez trouver des centaines de milliers de sites basés sur les php qu'ils ont compromis", a déclaré Phillip Lin, directeur du marketing chez FireEye. «Les cybercriminels ont commis une erreur.»

Tous les sites infectés par Gumblar ne vont pas afficher ce message, cependant, Lin a noté

Gumblar installe son code bogué sur les sites Web en s'exécutant sur le bureau et en volant FTP (File Transfer Protocol) informations de connexion de ses victimes, puis en utilisant ces informations d'identification pour placer des logiciels malveillants sur le site. Les webmasters qui soupçonnent que leurs sites ont été infectés peuvent suivre les instructions de détection et de suppression postées sur le blog de Sinegubko. La simple modification des informations d'identification FTP ne résoudra pas le problème, car les auteurs de Gumblar installent généralement une méthode back-door pour accéder aux sites.