В эти выходные более 100к сайтов под управлением CMS WordPress, чьи хозяева видимо не читают мой блог, были заражены новомодным зловредом SoakSoak, которому приписывают русское происхождение в связи с его хостингом на одноименном рушном домене.
Зловред эксплуатирует уязвимость плагина Slider Revolution о которой я писал в сентябре, но теперь вместо ссылок, он прописывает в тело сайта вредоносный код, атакующий компьютер посетителя, в связи с чем гуголЪ уже оперативно забанил более 11к доменов.
Вредоносный код добавляется в файл wp-includes/template-loader.php и шифруется с помощью php, т.ч при посещении страницы, он подгружает вредоносный загрузчик с сайта hxxp://soaksoak.ru/xteas/code
Естественно все осложняется тем, что плагин коммерческий и не обновляется автоматом, т.ч большинство владельцев проложили болт на его версию, при том, что уязвимыми являются все версии плагина Slider Revolution ниже 4.1.4, при том что актуальная версия от 3.12 уже 4.6.5
Контора вирусологов Sucuri, обнаружившая данного зловреда, уже добавила сигнатуры в свой бесплатный онлайн сканнер, которым можно прочекать сайт на предмет зараженности SoakSoak, но лучше обновиться до актуальной версии Slider Revolution, т.к чистить потом выйдет дороже.
2 Комментариев
-
aka Dingo сказал:
Я считаю реальная проблема не в плагинах, а в методе их скачивания. Я трижды нарывался на вирусы скачивая плагин через админку сайта, а после точно эти же плагины, но без вирусов скачивал с wordpress.org .то есть там какая-то защита стоит у них. Ну а умельцы понятное дело запихивают вирусы.е
[Reply]
anchous Reply:
December 25th, 2014 at 02:14
ну в данном случае – это плагин с сайта разработчика, ниоткуда кроме не скачаешь. тем более что это реально баг, а никак не зашифрованный скажем бэкдор
[Reply]