Artikel top billede

Botnet skaber problemer for Wordpress-sider

Et botnet skaber problemer for tusindvis af Wordpress-sider og andre sider med PHP.

Computerworld News Service: Webmastere, der finder en irriterende fejl-besked på en af deres sider, skal måske i virkeligheden prise sig heldige, takket været en fejl begået af botnettet Gumblars bagmænd.

Titusindvis af hjemmesider, mange af dem små sider, der kører via Wordpress' blog-software, er blevet ødelagt i løbet af de sidste par uger og returnerer en fejlmeddelelse med ordene "fatal error".

Ifølge sikkerhedseksperter bliver beskederne i virkeligheden genereret af ondsindet kode, som Gumblars bagmænd har sneget ind på computeren.

Er vågnet af dvale

Gumblar ramte overskrifterne i maj, da botnettet dukkede op på tusindvis af legitime hjemmesider, hvor det postede det, der er kendt som 'drive-by download' kode, som angriber inficerede forbipasserende med forskellige typer online-angreb.

Botnettet har ligget stille i løbet af juli og august, men er for nyligt begyndt at røre på sig igen.

Der er dog tilsyneladende opstået problemer på grund af nogle nye forandringer i Gumblars web-kode, fortæller den uafhængige sikkerhedsekspert Denis Sinegubko.

Denis Sinegubko fik kendskab til problemet for omkring fem dage siden, da en af brugerne af hans Unmask Parasites hjemmeside-tjekker kom til ham efter hjælp. Da han undersøgte problemet gik det op for ham, at Gumblar var synderen.

Bagmændene har tilsyneladende ændret i web-koden uden at teste tingene ordentligt igennem, og resultatet er, at "den nuværende Gumblar-version ødelægger Wordpress-blogs," skriver han i et blogindlæg om emnet.

Rammer bredt

Fejlen påvirker ikke bare brugere af Wordpress, siger Denis Sinegubko. "Enhver PHP-side med kompleks fil-arkitektur kan blive påvirket," fortæller han via IM.

Inficerede Wordpress-sider giver følgende fejlmeddelelse: Fatal error: Cannot redeclare xfm() (previously declared in /path/to/site/index.php(1) : eval()'d code:1) in /path/to/site/wp-config.php(1) : eval()'d code on line 1

Andre sider, der kører med software som for eksempel Joomla, angiver andre fatal-error-beskeder, fortæller Denis Sinegubko.

"Det er en standard PHP-fejl," siger han. "Men den måde, Gumblar lægger ondsindet script ud på, får den til altid at vise tråde som: eval()'d code on line 1."

For webmasteren er det selvfølgelig en irriterende bug, men måske skal man nærmere se den som en positiv ting. I virkeligheden fungerer beskederne som en advarsel til Gumblars ofre om, at de er blevet inficerede.

Sikkerhedsleverandøren Fireeye fortæller, at de hackede sider måske skal tælles i hundredtusindvis. "Fordi de er buggy, kan man nu lave en Google-søgning, der afslører hundredtusindvis af php-baserede sider, der er blevet kompromitterede," siger Philip Lin, der er marketingschef ved Fireeye. "De cyberkriminelle har lavet en fejl."

Philip Lin understreger dog, at det ikke er alle Gumblar-inficerede sider, der viser fejlmeddelelsen.

Gumblar installerer sin kode på hjemmesider ved først at køre på desktoppen og stjæle TFP (File Transfer Protocol)-login informationerne fra sine ofre. Derefter bruger den disse oplysninger til at placere malware på siden.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere