WordPress sub atac – Multiple vulnerabilitati in ultima versiune

wordpress vulnerabilWordPress 2.9.2 si posibil si versiunile anterioare sunt sub atac, iar cei care folosesc aceasta platforma este foarte probabil sa se fi lovit de probleme in ultima luna.
Exista mai multe tipuri de vulnerabilitati descoperite de diverse persoane sau companii de securitate. Este posibil ca ele sa fie legate sau pot fi separate. Cel mai important este ca WordPress, producatorul, sa reactioneze rapid si sa lanseze o actualizare.

Conform Trend Micro, site-urile compromise au o setare modificata ce deturneaza URL-ul original. Astfel, site-ul afectat contine un script ce va redirectiona vizitatorul spre o pagina infectata. Fisierul virusat este detectat ca TROJ_BUZUS.ZYX.


TROJ_BUZUS.ZYX, reprezinta o infectie in lant, care duce spre diversi alti virusi, incluzand antivirusi de tip rogue: TROJ_FAKEAV.ZZY.

Troienii Buzus se raspandesc de regula prin mesaje primite prin yahoo! messenger, dupa cum v-am atentionat si eu in aceasta postare. Ce se intampla in acest moment este o modificare a comportamentului acestui virus.

O alta problema intalnita la mai multi utilizatori ai WordPress a fost descrisa de Cristopher Penn.
Este vorba de injectarea unui cod sub forma unu java script in baza de date.
In tabela wp_options, se gaseste o intrare de genul rss_ urmata de un sir de cifre + litere aleatorii.
Codul java care este continut de aceasta intrare este de tip obfuscated si apare cam asa:

FFPJ1JpnyfUnpDzz3h9tfaI92uDvyD/Of+r4XyJ2f2Uev6U539WDM39kP10QFLP53+Y5BaX3+0/a03rZ0
0nKX5Na27hXdOSw17TGuO7pDWt/+Na0+lVHHdrWrScqzVqdysqybmiWvILqqXzn5L+ehyvSzriIZHsf
oIiUKwlJvcjvH69FR7SHB4UNXyXOaZw+ivT8dhjkZ6rtGj+PPJRMlCW5ePEZVlLOj8YkgL80/26Luefq
VXgStMY/Afw/

Solutia este stergerea acestei intrari din baza de date.
In plus, WordPress vine cu Magpie, o versiune veche si vulnerabila, care gestioneaza feed-urile RSS. Pentru a rezolva aceasta problema, descarcati FeedWordPress, copiati cele doua fisiere incluse in folder-ul MagPIE-RSS upgrade in folder-ul wp-includes, al instalarii dumneavoastra WordPress.


Alte raportari, fac referire la fisiere de tip .php, cu denumiri aleatorii create in radacina site-ului, unde este instalat WordPress.

Se pare ca echipa din spatele acestei platforme de blogging atat de populare, a fost alertata inca de acum o luna despre probleme, dar nu au reactionat conform asteptarilor, stergand chiar unele topic-uri de pe forumul oficial.

Totusi, daca aveti o problema asemanatoare celei descrise mai sus, sau suspectati ca ceva nu este in regula cu site-ul vostru, trimiteti un e-mail la adresa: security@wordpress.org
Includeti versiunea WordPress utilizata, plugin-urile folosite si denumirea temei, plus o descriere detaliata a problemei.

Sursa: GHacks

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply