Njeni ustvarjalci zlonamerno programsko opremo širijo preko hestonsflorists[.]com.

Odkrita je bila nova zlonamerna programska koda, ki ponovno okuži datoteke spletnega mesta tudi po tem, ko jih administratorji očistijo ali ponovno namestijo s pomočjo varnostne kopije. Gre za zelo trdovratno okužbo, ki cilja predvsem na spletne strani zgrajene na platformah WordPress in Joomla.

 

Zelo podobna okužba je bila prvič zaznana že leta 2014, saj se obnašala skoraj enako kot sedanja.

Kaj je novega?

Sucuri  je na svojem blogu v najnovejši objavi omenil, da je obstojnost zlonamerne programske kode na spletnem mestu ustvarila ‘cron job’, ki se periodično izvaja ob nastavljenem času in je namenjen prenosu zlonamerne programske kode iz domene tretje osebe.

 

Izvorna koda zlonamerne programske opreme je bila nastavljena samo za zaznavanje spletnih mest, ki temeljijo na platformah WordPress in Joomla. Glede na vrsto platforme zlonamerna programska koda nato sama določi način, ki ga bo uporabila, za nadaljnjo okužbo datotek spletnega mesta.

 

V beli knjigi ‘WordPress – kako varen je?’ preverite najpomembnejše varnostne nasvete, ki ji morate upoštevati, če imate spletno stran v WordPressu

 

Kako deluje zlonamerna programska koda?

Raziskovalci Sucurija so predstavili primer, ko je eno od njihovih strank prizadela trajna okužba z omenjeno zlonamerno programsko kodo. Spletna stran stranke je uporabljala platformo WordPress. Zlonamerna programska koda je za nadaljnji proces okužbe zlorabila privzet vtičnik ‘Hello Dolly’.

 

Prav tako je obdržala njegove obstoječe časovne oznake, nato pa v datoteko z vtičniki skušala skriti kodo, kodirano v base64.

 

Kljub procesu sanacije na spletni strani je zlonamerna programska koda ohranila svoje stališče.

 

Ustvarjalci zlonamerne programske kode so v zadnjih 5-8-ih letih spremenili domeno za distribucijo zlonamerne programske opreme. Staro domeno hestonsflorist[.]com so prestavili na trenutno hestonsflorists[.]com, da bi čimbolj razširili škodljivo programsko kodo.

 

»Napadalci so z uporabo dotika določili isti ponarejen časovni žig (201104202045), da bi prelisičili skrbnike spletnih strani, kar mora biti danes še bolj sumljivo, saj ponaredek odseva datum, ki je starejši od 8-ih let,« še dodajajo raziskovalci.

 

Poleg tega še ugotavljajo, da se zlonamerne datoteke zlonamerne programske kode zaganjajo iz mape /tmp, ki jo administratorji zelo redko skenirajo oz. spremljajo, kar otežuje odkrivanje škodljive programske kode.

Najboljši način za zaščito

Spletna stran ni varna, dokler ne odstranimo škodljivega ‘cron job-a’ . Če vas skrbi, da je tudi vaša spletna stran ogrožena, nam zaupajte pregled vaš spletne strani in razkrili bomo vse varnostne ranljivosti in načine za njihovo odpravo.

 

 

Povzeto po prispevku na Sucuri blogu.

 

Prispevek je pripravil Janez Peršin.