Artikel top billede

Botnet skaber problemer for Wordpress-sider

Et botnet skaber problemer for tusindvis af Wordpress-sider og andre sider med PHP.

Computerworld News Service: Webmastere, der finder en irriterende fejl-besked på en af deres sider, skal måske i virkeligheden prise sig heldige, takket været en fejl begået af botnettet Gumblars bagmænd.

Titusindvis af hjemmesider, mange af dem små sider, der kører via Wordpress' blog-software, er blevet ødelagt i løbet af de sidste par uger og returnerer en fejlmeddelelse med ordene "fatal error".

Ifølge sikkerhedseksperter bliver beskederne i virkeligheden genereret af ondsindet kode, som Gumblars bagmænd har sneget ind på computeren.

Er vågnet af dvale

Gumblar ramte overskrifterne i maj, da botnettet dukkede op på tusindvis af legitime hjemmesider, hvor det postede det, der er kendt som 'drive-by download' kode, som angriber inficerede forbipasserende med forskellige typer online-angreb.

Botnettet har ligget stille i løbet af juli og august, men er for nyligt begyndt at røre på sig igen.

Der er dog tilsyneladende opstået problemer på grund af nogle nye forandringer i Gumblars web-kode, fortæller den uafhængige sikkerhedsekspert Denis Sinegubko.

Denis Sinegubko fik kendskab til problemet for omkring fem dage siden, da en af brugerne af hans Unmask Parasites hjemmeside-tjekker kom til ham efter hjælp. Da han undersøgte problemet gik det op for ham, at Gumblar var synderen.

Bagmændene har tilsyneladende ændret i web-koden uden at teste tingene ordentligt igennem, og resultatet er, at "den nuværende Gumblar-version ødelægger Wordpress-blogs," skriver han i et blogindlæg om emnet.

Rammer bredt

Fejlen påvirker ikke bare brugere af Wordpress, siger Denis Sinegubko. "Enhver PHP-side med kompleks fil-arkitektur kan blive påvirket," fortæller han via IM.

Inficerede Wordpress-sider giver følgende fejlmeddelelse: Fatal error: Cannot redeclare xfm() (previously declared in /path/to/site/index.php(1) : eval()'d code:1) in /path/to/site/wp-config.php(1) : eval()'d code on line 1

Andre sider, der kører med software som for eksempel Joomla, angiver andre fatal-error-beskeder, fortæller Denis Sinegubko.

"Det er en standard PHP-fejl," siger han. "Men den måde, Gumblar lægger ondsindet script ud på, får den til altid at vise tråde som: eval()'d code on line 1."

For webmasteren er det selvfølgelig en irriterende bug, men måske skal man nærmere se den som en positiv ting. I virkeligheden fungerer beskederne som en advarsel til Gumblars ofre om, at de er blevet inficerede.

Sikkerhedsleverandøren Fireeye fortæller, at de hackede sider måske skal tælles i hundredtusindvis. "Fordi de er buggy, kan man nu lave en Google-søgning, der afslører hundredtusindvis af php-baserede sider, der er blevet kompromitterede," siger Philip Lin, der er marketingschef ved Fireeye. "De cyberkriminelle har lavet en fejl."

Philip Lin understreger dog, at det ikke er alle Gumblar-inficerede sider, der viser fejlmeddelelsen.

Gumblar installerer sin kode på hjemmesider ved først at køre på desktoppen og stjæle TFP (File Transfer Protocol)-login informationerne fra sine ofre. Derefter bruger den disse oplysninger til at placere malware på siden.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere