Сайты на базе WordPress снова в опасности! На этот раз в распоряжении хакеров законные, но безнадёжно устаревшие плагины

Сайты на базе WordPress снова в опасности! На этот раз в распоряжении хакеров законные, но безнадёжно устаревшие плагины

Датируемая 2012 годом надстройка Eval PHP используется мошенниками для внедрения вредоносного кода.

image

По данным компании Sucuri, занимающейся безопасностью веб-сайтов, злоумышленники в последнее время активно используют Eval PHP, сильно устаревший законный плагин WordPress, для компрометации веб-сайтов путем внедрения скрытых бэкдоров.

Eval PHP — это, по нынешним меркам, древний плагин WordPress, выпущенный в 2012 году. Он позволяет администраторам сайтов встраивать PHP-код на страницы своих сайтов, а затем выполнять этот код при открытии страницы в браузере. Плагин не обновлялся в течение последнего десятилетия и давно считается заброшенным, однако он всё ещё доступен в репозитории плагинов WordPress.

В этом месяце исследователи заметили некую тенденция использования Eval PHP киберпреступниками для встраивания вредоносного кода на, казалось бы, безобидные страницы WordPress. Заброшенный плагин благодаря хакерам теперь имеет в среднем почти 8000 вредоносных установок в день.

Основное преимущество этого метода по сравнению с обычными бэкдор-инъекциями заключается в том, что Eval PHP можно использовать для повторного заражения уже очищенных сайтов, сохраняя при этом точку компрометации неизвестной для реального администратора сайта.

Вредоносный код внедряется в базы данных целевых веб-сайтов, в частности, в таблицу «wp_posts». Это усложняет обнаружение, поскольку такой способ обходит стандартные меры безопасности веб-сайта, такие как мониторинг целостности файлов, сканирование на стороне сервера и т.д.

Как сообщается, злоумышленники используют скомпрометированные или новые учётные записи администратора для установки Eval PHP и внедрения вредоносного кода. Как только код запускается, в корень сайта сбрасывается бэкдор. Данный бэкдор не использует POST-запросы для связи с C2-сервером, чтобы избежать обнаружения. Вместо этого он передаёт все данные через cookie-файлы и GET-запросы без видимых параметров.

Более того, вредоносные шорткоды подсаживаются в сохранённые проекты, скрытые в дампе SQL-таблицы «wp_posts», а не в опубликованные страницы. И этого по-прежнему достаточно для выполнения кода, внедряющего бэкдор в базу данных веб-сайта.

Sucuri подчеркивает необходимость полного удаления и блокировки Eval PHP и прочих старых и неподдерживаемых плагинов, которые киберпреступники могут легко использовать в злонамеренных целях.

Пока ответственные за репозиторий плагинов WordPress бездействуют, владельцам веб-сайтов рекомендуется самостоятельно принять меры для защиты своих панелей администратора. Сделать это можно путём использования уникальных и более сложных учётных данных, поддержки используемой версии WordPress в актуальном состоянии, а также использования брандмауэра для веб-приложений.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий