Több ezer WordPress oldal fertőződött meg

2012. március 09. 13:40 - Csizmazia Darab István [Rambo]

Az említett PHP alapú ingyenes tartalomkezelő rendszer igen népszerű szerte a világon, ám most számos helyen a hamis antivírus áldozata lett. A kártevő terjesztők egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat.

A Websense kutatói figyeltek fel még a hét elején arra, hogy legalább 30 ezer WP alapú weboldal megfertőződhetett. A vizsgálatok kiderítették, hogy a fertőzött weboldalakon eltérítették a látogatók böngészőit, és észrevétlenül kártékony linkekre irányítva őket, kéretlenül felbukkanó ablakok segítségével hamis antivírus letöltésére próbálták rábírni őket. A weboldalak kódjában a BODY tag lezárása elé titokban beszúrt script elsősorban orosz weboldalakra továbbította a látogatókat, a felbukkanó üzenet pedig a már sokak által ismert hamis vírus ellenőrzési ablak volt, amely aztán riasztott, és azt állította, vírusokat talált a számítógépünkön. Ha valaki volt olyan óvatlan, és futtatta a felajánlott hamis antivírust, az nem hogy elhárította volna veszélyt, hanem ellenkezőleg éppen ezzel telepítette az áldozat a trójai kártevőt saját gépére.

A PC World cikke szerint az így kihasználható WordPress sérülékenység kizárólag korábbi, elavult változatok esetében támadható eredményesen. Az eddigi adatok szerint az Egyesült Államokban történt eddig a fertőzések döntő többsége - mintegy 85%, de persze ez az arány idővel változhat.

Ami viszont a látogatók összetételét érinti, ott már korántsem korlátozódik egyetlen területre vagy csupán néhány országra, hanem ott már *.* mindenkinek vigyáznia kell. A helyzetet tovább árnyalja, hogy egyes szakértők szerint a tömeges fertőzés egy bárki által szabadon letölthető, ám kártékony ToolsPack nevű plugin miatt indulhatott el.

A mit lehet tenni válasz lassan már olyan hosszú lesz, mint egy memóriapróbáló szólánc játék. Szóval akkor a szokásos kezdés, vagyis naprakész és valódi antivírus, rendszeresen frissített operációs rendszer és alkalmazói programok, biztonságos böngésző, ehhez biztonságot segítő böngésző kiegészítők használata, biztonságtudatosság és óvatosság a kéretlen ablakok, üzenetek tekintetében. Ezeken az állandó részeken felül, ha valaki nem csak olvasóként érintett, hanem weboldalt vagy blogot vezet, annak érdemes magát a WordPresst is frissítenie, frissen tartania, ami valljuk be, nem túl bonyolult feladat, csak egy kis odafigyelést igényel.

Ne feledkezzünk el a letöltések alapos és óvatos megválogatásáról sem, magyarán egy ingyenes tartalomkezelő rendszerhez letölthető ismeretlen eredetű plugin is képes lehet galibát okozni, ha pedig valaki érintett egy ilyen történetben, a puszta frissítéseken felül az ilyenkor kötelező (kellően erős) jelszócserékről se feledkezzen meg.

16 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr494299530

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Online Távmunkás · http://onlinetavmunka.blog.hu 2012.03.09. 17:21:56

Sajnos még manapság is nagyon sok embernek újdonság, hogy nem szabad minden programot gondolkodás nélkül telepíteni és frissíteni kell a meglévő programokat a gépen.

Before · http://azbeszt.blog.hu 2012.03.09. 17:27:37

@online távmunkás: ez mindig is újdonság lesz a felhasználók nagy részének. Az emberek többsége nem profi, nem tájékozott, egyszerű, alapszintű felhasználó, ráadásul ezek a próbálkozások is egyre kifinomultabbak...

DjZoNe · http://djz.hu/blog/ 2012.03.09. 17:28:49

Megérdemli aki nem wordpress.orgról származó bővítményeket tölt le :)

Online Távmunkás · http://onlinetavmunka.blog.hu 2012.03.09. 17:36:09

@Before: Ezért kellene minden gépre normális frissítési beállításokkal felrakni minden szoftvert. Megáll az eszem, amikor azt látom, hogy egy víruskeresőnél az alapbeállítás az, hogy ne frissítse az adatbázist, szóval a gyári beállításokkal kezdődik a történet.
Az már csak a következő lépés, hogy az átlag usernek egy nem admin felhasználót lehet csak adni.

Before · http://azbeszt.blog.hu 2012.03.09. 18:03:27

@online távmunkás: ezzel még mindig csak töredéknyit léptél előre, már csak azért is, mert a vírusirtók jobbára csak követni tudják a kórokozókat, másrészt a felhasználó a végtelenségig a leggyengébb láncszem marad.
Csak egy példa a közelmúltból:
ismerősöknek csináltam gépet, mindent rendesen beállítva, windows frissítések telepítve, tűzfal, vírusirtó aznapi adatbázissal, szigorúan megtiltva a usereknek, hogy az engedélyem nélkül bármit is telepítsenek. Egyszer csak jön facebook chat-en egy üzenet, hogy "nézd milyen marha jó videót találtam rólad!", és egy link. Youtube betölt, ott a videó "XY vicces jelenete" címmel, alatta az ismerősök kommentjei, stb. A videó nem játszható le, mert frissíteni kell a flash-playert, "kattints ide".
Annyira profin meg volt csinálva, hogy még a heavy userek jó része is beszopja. Telepítés után se volt kispályás a cucc, lecserélte a tűzfalat saját magára, kiírta, hogy "minden rendben, nem kell aggódni", majd a windows telepítési központból (vagy hogy a toszba' hívják) "frissítéseket" akart letöltetni...
Gyakorlatilag elkerülhetetlen, utána meg kiirthatatlan cucc, ha kevésbé feltűnő utána, sose jönnek rá, hogy megfertőződtek.

kpityu2 2012.03.09. 18:25:51

@Before: Ez a tuti megoldás. Nem lejátszható flash videó egy vírusvédelmi oldalon arról, hogy mire kell vigyázni. Kérjük frissítse a flash-playert. :D

fidesz = házmesterek pártja 2012.03.09. 19:26:47

Sokan használják a WP-t, de egyre inkább úgy érzem, hogy ez az egész egy komplett életveszély.
Ismerős fotós blogját rendszeresen feltörték, a végén megunta és bezárta az oldalt.

Online Távmunkás · http://onlinetavmunka.blog.hu 2012.03.09. 21:04:56

@Before: Ezért kell a beállítások után az admin jogot elvenni a usertől. Akkor nem fog ezt-azt telepíteni, mert a "becsszóra nem nyúlok hozzá" nem működik.

Before · http://azbeszt.blog.hu 2012.03.09. 21:46:38

@online távmunkás: persze, én meg rohangáljak hozzá kétnaponta minden szarért...

kb. kognitív disszonancia · http://hu.wikipedia.org/wiki/Kognit%C3%ADv_disszonancia 2012.03.10. 00:01:30

@al kotmány aláiro álamfö - alias másolo gépp:
Ennyi erővel lekapcsolhatná a gépét is. Ott miért tud rendszeresen frissíteni,nem balfax módon telepítgetni?

Ahogy írják, megint a felhasználó a szűk keresztmetszet, a cms-eket is ugyanúgy frissíteni kell. Ennyi. Vagy kell egy blaster mindenkinek, hogy megtanulja?

-ZR- 2012.03.10. 00:18:59

@Before: Van az a pénz... :)

szmoker (Homo Trollicus) 2012.03.10. 10:01:16

Pár hónapja WordPresset futtató linuxot szar tele valami vérus, pedig friss NOD32 is volt rajta.
Möhö :)

bunkó · http://bunko.blog.hu 2012.03.10. 10:08:31

Vagy én nem olvasok elég figyelmesen, vagy ez a cikk sem ír egyetlen szót sem arról, hogy hogyan sikerült megfertőzni a Wordpress oldalakat.
Vagy ez itt senkit nem érdekel rajtam kívül?

fidesz = házmesterek pártja 2012.03.10. 11:15:51

@kb. kognitív disszonancia: valamelyik, a felhasználói által használt plugin volt lyukas, nem tudott vele mit kezdeni, ha jól értettem a történetet.