Botnetschrijvers Crash WordPress Sites met Buggy Code

Webmasters die een vervelende foutmelding op hun sites vinden, hebben mogelijk een grote doorbraak bereikt, dankzij een foutje van de auteurs van het Gumblar-botnet.

Tienduizenden websites, waarvan vele kleine sites hebben de WordPress-blogsoftware is verbroken en heeft de afgelopen weken een "fatale fout" -bericht teruggestuurd. Volgens beveiligingsexperts worden deze berichten eigenlijk gegenereerd door een of andere kwaadaardige code met fouten die door de auteurs van Gumblar op hen is terechtgekomen.

Gumblar heeft in mei de krantenkoppen gehaald toen het op duizenden legitieme websites verscheen, wat bekend staat als "drive-by download" code die geïnfecteerde bezoekers aanvalt met verschillende online aanvallen. Het botnet was stil in juli en augustus, maar is onlangs weer begonnen computers te infecteren.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Blijkbaar hebben enkele recente wijzigingen in de webcode van Gumblar echter veroorzaakt het probleem, volgens onafhankelijk beveiligingsonderzoeker Denis Sinegubko.

Sinegubko hoorde ongeveer vijf dagen geleden over het probleem toen hij werd benaderd door een van de gebruikers van zijn Unmask Parasites website-checker. Na het onderzoek ontdekte Sinegubko dat Gumblar de schuldige was. De auteurs van Gumblar hebben blijkbaar enkele wijzigingen aangebracht in hun webcode zonder de juiste tests uit te voeren, en als gevolg daarvan "breekt de huidige versie van Gumbar effectief WordPress-blogs", schreef hij in een blogpost waarin het probleem werd beschreven.

De bug doet niet alleen invloed op gebruikers van WordPress, zei Sinegubko. "Elke PHP-site met een complexe bestandsarchitectuur kan worden beïnvloed", zei hij via een instant-bericht.

WordPress-sites die zijn gecrasht vanwege de buggy-code geven het volgende foutbericht weer: Fatale fout: kan xfm () niet opnieuw aangeven (eerder gedeclareerd in /path/to/site/index.php(1): eval () 'd code: 1)

in /path/to/site/wp-config.php(1): eval ()' d code op regel 1

Andere sites met software zoals Joomla krijgen verschillende fatale foutmeldingen, zei Sinegubko. "Het is een standaard PHP-fout", zei hij. "Maar de manier waarop Gumblar kwaadaardige scripts injecteert, zorgt ervoor dat het altijd strings weergeeft als: eval () 'd code op regel 1"

De bug lijkt een ergernis voor webmasters, maar het is eigenlijk een zegen. In feite waarschuwen de berichten de slachtoffers van Gumblar dat ze zijn besmet.

Beveiligingsleverancier FireEye zei dat het aantal gehackte sites honderdduizenden kan zijn. "Vanwege het feit dat ze een bug hebben, kun je nu Google zoeken en honderdduizenden php-gebaseerde sites vinden die ze hebben gecompromitteerd", zegt Phillip Lin, marketingdirecteur bij FireEye. "Er is een fout gemaakt door de cybercriminelen."

Niet alle door Gumblar geïnfecteerde sites zullen dit bericht weergeven, noteert Lin.

Gumblar installeert zijn buggycode op websites door eerst op de desktop te draaien en FTP te stelen (File Transfer Protocol) inloggegevens van zijn slachtoffers en vervolgens die inloggegevens gebruiken om malware op de site te plaatsen. Webmasters die vermoeden dat hun sites zijn geïnfecteerd, kunnen de instructies voor detectie en verwijdering volgen die op het blog van Sinegubko zijn geplaatst. Het eenvoudigweg wijzigen van FTP-referenties lost het probleem niet op, omdat de auteurs van Gumblar meestal een back-end-methode installeren om sites te bezoeken.