Теперь нужно внимательно следить, как ваш сайт выглядит глазами пользователя.
Специалисты компании Defiant Для просмотра ссылки Войдиили Зарегистрируйся новое вредоносное ПО, которое маскируется под легитимный плагин кэширования и заражает сайты WordPress , позволяя злоумышленникам создать учетную запись администратора и контролировать активность сайта.
Вредоносное ПО представляет собой бэкдор со множеством функций, которые позволяют управлять плагинами и скрываться на зараженных сайтах, заменять контент или перенаправлять определенных пользователей на вредоносные ресурсы.
Компания Defiant, разработчик плагина безопасности Wordfence для WordPress, обнаружила вредоносное ПО код в июле во время очистки одного из сайтов. При более тщательном изучении бэкдора исследователи обратили внимание, что в начале кода находится «профессионально выполненный вступительный комментарий», имитирующий инструмент кэширования, который обычно помогает снизить нагрузку на сервер и улучшить время загрузки страниц.
Маскировка под такой инструмент кажется обдуманной – так киберпреступники обеспечили «незаметность» бэкдора во время ручной проверки. Также вредоносный плагин настроен на исключение себя из списка «активных плагинов» для уклонения от обнаружения.
Вредоносное ПО обладает следующими возможностями:
Отметим, что типичные методы компрометации сайта включают использование украденных учетных данных, брутфорс или эксплуатацию уязвимости в существующем плагине или теме. Поэтому владельцам сайтов следует использовать надёжные и уникальные учетные данные для аккаунтов администраторов, обновлять плагины, а также удалять неиспользуемые дополнения и неактивных пользователей.
Специалисты компании Defiant Для просмотра ссылки Войди
Вредоносное ПО представляет собой бэкдор со множеством функций, которые позволяют управлять плагинами и скрываться на зараженных сайтах, заменять контент или перенаправлять определенных пользователей на вредоносные ресурсы.
Компания Defiant, разработчик плагина безопасности Wordfence для WordPress, обнаружила вредоносное ПО код в июле во время очистки одного из сайтов. При более тщательном изучении бэкдора исследователи обратили внимание, что в начале кода находится «профессионально выполненный вступительный комментарий», имитирующий инструмент кэширования, который обычно помогает снизить нагрузку на сервер и улучшить время загрузки страниц.
Маскировка под такой инструмент кажется обдуманной – так киберпреступники обеспечили «незаметность» бэкдора во время ручной проверки. Также вредоносный плагин настроен на исключение себя из списка «активных плагинов» для уклонения от обнаружения.
Вредоносное ПО обладает следующими возможностями:
- Создание пользователей – функция создает пользователя с именем «superadmin» с жестко закодированным паролем и правами администратора, в то время как вторая функция может удалить этого пользователя, чтобы стереть следы заражения.
- Создание поддельного администратора на сайте.
- Обнаружение ботов – когда посетителей идентифицируют как ботов (например, поисковые роботы), вредоносный код предоставляет им другой контент, например, спам , что приводит к индексации зараженного сайта с вредоносным контентом.
- Замена контента – вредоносный код может изменять контент и содержание страниц, вставляя спам-ссылки или кнопки. При этом администраторам сайта отображается первоначальный, неизмененный контент, чтобы скрыть факт компрометации.
- Управление плагинами – операторы вредоносного ПО могут удаленно активировать или деактивировать произвольные плагины WordPress на зараженном сайте, а также очищать свои следы в базе данных сайта.
- Удаленный вызов – бэкдор проверяет определенные строки useragent, позволяя злоумышленникам удаленно активировать различные вредоносные функции.
Отметим, что типичные методы компрометации сайта включают использование украденных учетных данных, брутфорс или эксплуатацию уязвимости в существующем плагине или теме. Поэтому владельцам сайтов следует использовать надёжные и уникальные учетные данные для аккаунтов администраторов, обновлять плагины, а также удалять неиспользуемые дополнения и неактивных пользователей.
- Источник новости
- www.securitylab.ru