Computerworld News Service: Webmastere, der finder en irriterende fejl-besked på en af deres sider, skal måske i virkeligheden prise sig heldige, takket været en fejl begået af botnettet Gumblars bagmænd.
Titusindvis af hjemmesider, mange af dem små sider, der kører via Wordpress' blog-software, er blevet ødelagt i løbet af de sidste par uger og returnerer en fejlmeddelelse med ordene "fatal error".
Ifølge sikkerhedseksperter bliver beskederne i virkeligheden genereret af ondsindet kode, som Gumblars bagmænd har sneget ind på computeren.
Er vågnet af dvale
Gumblar ramte overskrifterne i maj, da botnettet dukkede op på tusindvis af legitime hjemmesider, hvor det postede det, der er kendt som 'drive-by download' kode, som angriber inficerede forbipasserende med forskellige typer online-angreb.
Botnettet har ligget stille i løbet af juli og august, men er for nyligt begyndt at røre på sig igen.
Der er dog tilsyneladende opstået problemer på grund af nogle nye forandringer i Gumblars web-kode, fortæller den uafhængige sikkerhedsekspert Denis Sinegubko.
Denis Sinegubko fik kendskab til problemet for omkring fem dage siden, da en af brugerne af hans Unmask Parasites hjemmeside-tjekker kom til ham efter hjælp. Da han undersøgte problemet gik det op for ham, at Gumblar var synderen.
Bagmændene har tilsyneladende ændret i web-koden uden at teste tingene ordentligt igennem, og resultatet er, at "den nuværende Gumblar-version ødelægger Wordpress-blogs," skriver han i et blogindlæg om emnet.
Rammer bredt
Fejlen påvirker ikke bare brugere af Wordpress, siger Denis Sinegubko. "Enhver PHP-side med kompleks fil-arkitektur kan blive påvirket," fortæller han via IM.
Inficerede Wordpress-sider giver følgende fejlmeddelelse: Fatal error: Cannot redeclare xfm() (previously declared in /path/to/site/index.php(1) : eval()'d code:1) in /path/to/site/wp-config.php(1) : eval()'d code on line 1
Andre sider, der kører med software som for eksempel Joomla, angiver andre fatal-error-beskeder, fortæller Denis Sinegubko.
"Det er en standard PHP-fejl," siger han. "Men den måde, Gumblar lægger ondsindet script ud på, får den til altid at vise tråde som: eval()'d code on line 1."
For webmasteren er det selvfølgelig en irriterende bug, men måske skal man nærmere se den som en positiv ting. I virkeligheden fungerer beskederne som en advarsel til Gumblars ofre om, at de er blevet inficerede.
Sikkerhedsleverandøren Fireeye fortæller, at de hackede sider måske skal tælles i hundredtusindvis. "Fordi de er buggy, kan man nu lave en Google-søgning, der afslører hundredtusindvis af php-baserede sider, der er blevet kompromitterede," siger Philip Lin, der er marketingschef ved Fireeye. "De cyberkriminelle har lavet en fejl."
Philip Lin understreger dog, at det ikke er alle Gumblar-inficerede sider, der viser fejlmeddelelsen.
Gumblar installerer sin kode på hjemmesider ved først at køre på desktoppen og stjæle TFP (File Transfer Protocol)-login informationerne fra sine ofre. Derefter bruger den disse oplysninger til at placere malware på siden.
Oversat af Marie Dyekjær Eriksen
