Botnet Authors Crash WordPress Sites With Buggy Code

يمكن لمشرفي المواقع الذين يعثرون على رسالة خطأ مزعجة على مواقعهم أن يحصلوا على استراحة كبيرة ، وذلك بفضل الانزلاق من قبل مؤلفي الروبوتات Gumblar.

عشرات الآلاف من مواقع الويب ، والعديد منهم مواقع صغيرة تعمل تم كسر برنامج WordPress للتدوين ، مما أدى إلى ظهور رسالة "خطأ فادح" في الأسابيع الأخيرة. ووفقاً لخبراء الأمن ، فإن هذه الرسائل يتم إنشاؤها بالفعل بواسطة بعض الرموز الضارة التي يتسلل إليها مؤلفو Gumblar.

تصدرت Gumblar عناوين الأخبار في مايو عندما ظهرت على آلاف المواقع الشرعية ، ونشر ما يعرف باسم "drive-by download" code يهاجم الزوار مع مجموعة متنوعة من الهجمات عبر الإنترنت. كانت الروبوتات هادئة خلال شهري يوليو وأغسطس ، ولكن في الآونة الأخيرة بدأت تصيب أجهزة الكمبيوتر مرة أخرى.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

على ما يبدو ، مع ذلك ، بعض التغييرات الأخيرة التي تم إجراؤها على كود ويب Gumblar المشكلة ، وفقا لباحث الأمن المستقل دينيس Sinegubko.

Sinegubko علمت حول هذه القضية منذ حوالي خمسة أيام عندما اقترب من قبل واحد من مستخدمي المدقق موقعه Unmask Parasites. بعد التحقيق ، اكتشف Sinegubko أن اللوم Gumblar. كتب مؤلفو غامبلار على ما يبدو بعض التغييرات على رمز الويب الخاص بهم دون إجراء الاختبار المناسب ، ونتيجة لذلك "النسخة الحالية من Gumbar بشكل فعال يكسر بلوق وورد" ، وكتب في بلوق وظيفة تصف هذه المسألة.

علة لا يؤثر فقط على مستخدمي وورد ، قال Sinegubko. "أي موقع PHP مع بنية ملف معقدة يمكن أن تتأثر" ، قال عبر رسالة فورية.

مواقع WordPress التي تعطلت بسبب رمز عربات التي تجرها الدواب عرض رسالة الخطأ التالية: خطأ فادح: لا يمكن redeclare xfm () (أعلن سابقا في /path/to/site/index.php(1): eval () 'code: 1)

in /path/to/site/wp-config.php(1): eval ()' d code on خط 1

مواقع أخرى تشغيل برامج مثل جملة الحصول على رسائل خطأ فادح مختلفة ، وقال Sinegubko. "إنه خطأ PHP قياسي" ، قال. "ولكن الطريقة التي يضخ بها Gumblar النصوص الخبيثة تجعله دائمًا يعرض سلاسل مثل: eval () 'code على السطر 1"

قد يبدو الخطأ وكأنه مصدر إزعاج لمشرفي المواقع ، ولكنه في الواقع نعمة. في الواقع ، فإن الرسائل تحذر ضحايا غامبلار بأنهم تعرضوا للخطر.

بائع الحماية FireEye قال إن عدد المواقع المخترقة يمكن أن يكون بمئات الآلاف. وقال فيليب لين ، مدير التسويق في شركة FireEye: "نظرًا لحقيقة كونها عربات التي تجرها الدواب ، يمكنك الآن إجراء بحث Google هذا ويمكنك العثور على مئات الآلاف من المواقع المستندة إلى php التي قاموا باختراقها". "كان هناك خطأ ارتكبه المجرمون الإلكترونيون."

ليست جميع المواقع المصابة بجبلة Gumblar ستعرض هذه الرسالة ، ومع ذلك ، لاحظ لين.

Gumblar يثبت شفرة عربات التي تجرها الدواب على مواقع الويب من خلال تشغيلها لأول مرة على سطح المكتب وسرقة FTP معلومات تسجيل الدخول (بروتوكول نقل الملفات) من ضحاياه ثم استخدام أوراق الاعتماد هذه لوضع برامج ضارة على الموقع. يمكن لمشرفي المواقع الذين يشتبهون في أن مواقعهم مصابة أن يتبعوا تعليمات الكشف والإزالة المنشورة على مدونة Sinegubko. لن يؤدي تغيير بيانات اعتماد FTP ببساطة إلى حل المشكلة ، لأن مؤلفي Gumblar عادةً ما يثبتون طريقة الباب الخلفي للوصول إلى المواقع.