Nie napiszę tu nic, co byłoby zaskoczeniem dla przeciętnie ogarniętego użytkownika WordPressa: jeśli jakiś motyw czy wtyczka jest płatna, a w sieci jest strona oferująca ją za darmo, strona ta nie robi tego bez powodu.
Wiadomo to od dawna, choć do tej pory nie znaliśmy skali tego problemu. Teraz już wiemy dzięki analizie jakiej dokonał serwis Previlion i nazwał kryptonimem „PHP’s Labyrinth”.
Sprawę tropili przez ostatnie dwa i pół roku i opracowano całkiem ciekawy raport. Okazuje się, że tylko jedna organizacja prowadziła co najmniej 30 stron oferujących lewe motywy i wtyczki (a na pewno było i jest ich więcej) dzięki którym udało się zainfekować co najmniej 20 tysięcy witryn (choć autorzy raportu szacują, że jest ich tak naprawdę kilkaset tysięcy).
Jak wygląda cały proceder? Szczegóły znajdziecie w podlinkowanym wyżej opisie, ale w skrócie:
oszczędny właściciel strony pobiera z darmowego źródła płatny motyw czy wtyczkę
taki spiracony dodatek zawiera instalator złośliwego kodu, który rozkłada infekcję po różnych plikach, a na koniec sam siebie kasuje, by ukryć infekcję
złośliwy kod tworzy dodatkowe konto administratora w serwisie przez co włamywacz ma pełny dostęp do witryny
złośliwy kod wstrzykuje reklamy na zainfekowane witryny (bardzo często reklamujące kolejne podejrzane witryny lub treści erotyczne)
reklamy zawierają kod javascript, który wyświetla użytkownikom odwiedzającym zainfekowaną stronę fałszywą informację, że muszą zaktualizować flasha – oczywiście pobrany program to nie instalator tej prawie zapomnianej już wtyczki do przeglądarek, a wirus instalujący się na lokalnych komputerach
Oszczędny właściciel strony ma teraz bardzo duży problem.
Kommentare