Η πλατφόρμα WordPress αποτελεί έναν από τους δημοφιλέστερους τρόπους δημιουργίας ιστοτόπων παγκοσμίως, με εκατομμύρια χρήστες να βασίζονται σε αυτήν για την παρουσία τους στο διαδίκτυο.
Ωστόσο, η ευρεία χρήση της την καθιστά συχνό στόχο κακόβουλων ενεργειών. Πρόσφατα, περισσότεροι από 1.000 ιστότοποι WordPress εντοπίστηκαν να έχουν μολυνθεί με κακόβουλο κώδικα JavaScript, ο οποίος δημιουργεί τέσσερις ξεχωριστές backdoors, παρέχοντας στους επιτιθέμενους πολλαπλά σημεία επανεισόδου.
Λειτουργίες των Backdoors
- Ψευδές Plugin “Ultra SEO Processor”: Αυτό το backdoor εγκαθιστά ένα ψευδές plugin με το όνομα “Ultra SEO Processor”, το οποίο επιτρέπει την εκτέλεση εντολών που δίνονται από τον επιτιθέμενο.
- Εισαγωγή Κακόβουλου Κώδικα στο wp-config.php: Το δεύτερο backdoor εισάγει κακόβουλο κώδικα JavaScript στο αρχείο wp-config.php, επιτρέποντας την εκτέλεση κακόβουλων ενεργειών.
- Προσθήκη SSH Κλειδιού: Το τρίτο backdoor προσθέτει ένα SSH κλειδί ελεγχόμενο από τον επιτιθέμενο στο αρχείο ~/.ssh/authorized_keys, επιτρέποντας συνεχή απομακρυσμένη πρόσβαση στον διακομιστή.
- Εκτέλεση Απομακρυσμένων Εντολών: Το τέταρτο backdoor έχει σχεδιαστεί για την εκτέλεση απομακρυσμένων εντολών και την απόκτηση άλλων κακόβουλων φορτίων, πιθανώς για το άνοιγμα ενός reverse shell.
Προτεινόμενα Μέτρα Προστασίας
- Αφαίρεση μη εξουσιοδοτημένων SSH κλειδιών: Ελέγξτε και αφαιρέστε οποιαδήποτε SSH κλειδιά που δεν αναγνωρίζετε.
- Αλλαγή διαπιστευτηρίων διαχειριστή: Ενημερώστε τους κωδικούς πρόσβασης του διαχειριστή του WordPress για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση.
- Παρακολούθηση αρχείων καταγραφής συστήματος: Ελέγχετε τακτικά τα logs του συστήματος για ύποπτες δραστηριότητες που μπορεί να υποδεικνύουν παραβίαση.
Πρόσφατες Εξελίξεις
Επιπλέον, έχει αναφερθεί μια κακόβουλη εκστρατεία που έχει επηρεάσει περισσότερους από 35.000 ιστότοπους, εισάγοντας κακόβουλο JavaScript που ανακατευθύνει τους επισκέπτες σε κινεζικές πλατφόρμες τυχερών παιχνιδιών. Αυτές οι ανακατευθύνσεις πραγματοποιούνται μέσω JavaScript που φιλοξενούνται σε διάφορους τομείς, όπως mlbetjs[.]com και ptfafajs[.]com.
Επιπλέον, η εταιρεία Group-IB ανέφερε μια εκστρατεία από την ομάδα ScreamedJungle, η οποία εισάγει κακόβουλο κώδικα JavaScript, γνωστό ως Bablosoft JS, σε παραβιασμένους ιστότοπους Magento, συλλέγοντας δεδομένα περιήγησης των χρηστών. Περισσότεροι από 115 ιστότοποι ηλεκτρονικού εμπορίου έχουν επηρεαστεί μέχρι σήμερα.
Συμπέρασμα
Η συνεχής παρακολούθηση και η άμεση αντιμετώπιση των ευπαθειών είναι κρίσιμες για την ασφάλεια των ιστότοπων. Η τακτική ενημέρωση των plugins και των θεμάτων, η χρήση ισχυρών κωδικών πρόσβασης και η παρακολούθηση των αρχείων καταγραφής μπορούν να βοηθήσουν στην αποτροπή τέτοιων επιθέσεων.
Πηγές: TheHackerNews, CyberSecurityNews
