Více jak 100 tisíc zasažených WordPress malware SoakSoak

Neděle 14.12.2014 nezačala zrovna odpočinkově pro více jak jedenáct tisíc webů, které dal z důvodu napadení Google na svůj blacklist. Měly by tak být penalizovány ve vyhledávání a pokud se na ně pokusíte dostat tak uvidíte varovné okno. Google blacklist totiž sdílí i další služby, které dodávají informace prohlížečům a bezpečnostním programům.

Podle blogu securi.net však odhadují jejich analýzy více jak sto tisíc napadených webů, z velké části se přitom jedná o WordPress. Na českých a slovenských komunitách však nejsou hlášeny žádné velké útoky. Důvodem proč není napadeno více instalací může být především to, že se poměrně rychle prozradí.

Napadení malware SoakSoak se projevují náhodným přesměrováváním na web SoakSoak(tečka)ru. Právě kvůli tomuto přesměrování byl tento malware takto pojmenován. Odborníci spekulují, že se jedná o takzvanou mallware kampaň. Tyto rozsáhlé a cílené útoky se začali ve větší míře objevovat v roce 2013.

Mimo redirektu mohou nechráněné počítače na pozadí začít stahovat škodlivý kód přímo na disk, což může být daleko větší problém. Ačkoliv se o této hrozbě převážně hovoří ve spojitosti s WordPress je podle odborníků ze securi.net velice možné, že infikované mohou být i jiné redakční systémy. Prozatím totiž není známo jak se vlastně do instalací dostává. Spekulace o zero day exploit jsou však vysoce nepravděpodobné.

Vzhledem k tomu, že se jedná o redirektovací malware, který se aktivuje prostřednictvím iframe vloženého do šablony, zasáhl proti napadeným webům celkem rychle Google. Ostatně není problém jej odhalit, v porovnání v porovnání třeba s CryptoPHP. Pokud máte svůj web registrovaný v Google nástrojích pro webmástery dostali jste varování a přišel vám určitě i email.

Jak funguje napadení

SoakSoak infikuje soubor wp-includes/template-loader.php, kde zajistí vkládání souboru s javascriptem swobject.js (konkrétně se nachází v wp-includes/js/swobject.js). Ten obsahuje samotný odkaz na malware, který je ve formě java.

Pokud máte podezření, že se s vašim webem něco děje můžete zdarma využít online scan od securi.net.

Odstranění

Čištění je tentokrát jednoduché. V současné době by mělo stačit odstranit soubor swobject.js a nahrát zálohu template-loader.php. Pokud zálohu nemáte zkuste odstranit následující kus kódu:

function FuncQueueObject()
 {
 wp_enqueue_script("swfobject");
 }
 add_action("wp_enqueue_scripts", 'FuncQueueObject');

Prozatím není známo jak se do WordPress tento malware vlastně dostal. Na bezpečnostní díru to ale nevypadá, odborníci se přiklánějí spíše k chybě na straně uživatele. No uvidíme.

Share Button

Tento článek byl byl přečten 7298 krát

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *