VisitorTracker: очередная вредоносная кампания против сайтов на WordPress

2 октября 2015, 16:17 Комментарии: 0

Специалисты американской компании Sucuri Labs в середине сентября сообщили о новой атаке хакеров, в результате которой пострадали уже более тысячи сайтов. Точная дата начала кампании – 7.09.2015. Мишенью стали веб-ресурсы, работающие на базе WordPress, менее 10% пострадавших используют другие CMS. Причиной уязвимости являются популярные плагины.

На графике, который опубликовал Дэниэл Кид (Daniel Cid)в блоге Sucuri Labs видно, что количество жертв росло до середины прошлого месяца. Затем было зафиксировано замедление, а в последние дни – резкий скачок.
График инфецирования
На данный момент, Google еще фактически не отреагировал на масштабный взлом. Только каждый пятый взломанный сайт получил соответствующий статус.

Акцию назвали VisitorTracker, по имени функции visitorTracker_isMob(). В javascript-файлы сайта внедряется код такого вида:
function visitor tracker
Сейчас кампания продолжается, а злоумышленники начали усложнять java-код, модифицируя его. Оригинальный код можно было легко определить и нетрудно исправить, в то время как последняя версия включает в себя несколько слоев кодировок, и конечный результат вводится в каждый javascript-файл:
infected js
Задача хакеров – привлечь как можно больше пользователей на страницу, зараженную известным exploit kit Nuclear. Специальный фрейм запускает процесс перенаправления на инфицированный веб-сайт. Домены страницы постоянно меняются, однако Nuclear используется злоумышленниками постоянно.

Как обнаружить и предотвратить заражение VisitorTracker?

Во-первых, проверьте свои javascript-файлы на предмет наличия данного кода. По сообщениям и комментариям на форумах можно сделать вывод, что сайты Рунета очередная хакерская «волна» накрыла с головой. Для проверки достаточно воспользоваться поиском grep -r “visitorTracker_isMob” /var/www/.

Во-вторых, стоит обновить ваши плагины до последних версий, как премиум-класса, так и бесплатные. Именно разнообразие дополнений делает блоговый движок удобной мишенью. Единой причины этой атаки по-прежнему не обнаружено, и очевидно, речь идет не об определенной точке заражения, а о принципе инфицирования, который вызвал такие последствия.

Поделиться в соц. сетях

Опубликовать в Google Plus

Автор поста: Mihailenko Bogdan