VisitorTracker: массовый взлом Wordpress

Компания Sucuri Labs, которая занимается информационной безопасностью, сообщает о массовом заражении сайтов на популярной CMS Wordpress. 

Вирусная эпидемия, начало которой было замечено в первых числах сентября, уже поразила более 6000 сайтов и эта цифра продолжает быстро расти, причем в последние дни — экспоненциально. 

В 95% случаев на сайтах, которые были взломаны, установлена система управления контентом WordPress. 

Атака была названа VisitorTracker, т.к. во все найденные JavaScript-файлы взломанных ресурсов взломщики помещают функцию под названием visitorTracker_isMob(). 

Посетителей зараженных сайтов перенаправляют на страницу взломщиков, где на их компьютер загружается известный эксплойт-набор Nuclear. Происходит это с помощью iframe, внедренного на сайт-жертву, в котором открывается страница загрузки эксплойта. 

Каким именно образом сайты заражаются, пока точно неизвестно, зараженные сайты были инфицированы по-разному и общие признаки еще не выделены. Проблема в том, что Wordpress имеет большое количество плагинов, которые могут быть использованы для атаки. 

Как обычно бывает в случаях подобных эпидемий, рекомендуется обновить до последних версий саму CMS и все ее плагины, придерживаться мер безопасности для сайтов и периодически проверять свой сайт на предмет вредоносного кода. Также рекомендуем почитать статью Безопасность сайтов на PHP.

Сделать это можно, например, из консоли Unix с помощью команды:

 grep -r “visitorTracker_isMob” /var/www/

или загрузив сайт на свой компьютер и запустив текстовый поиск по файлам сайта там.