וורדפרס תחת מתקפה – עשרות בלוגים מבוססי וורדפרס נפרצו בשבוע האחרון

עשרות בלוגרים המשתמשים בפלטפורמת Wordpress לניהול הבלוג שלהם התלוננו בימים האחרונים כי האתרים שלהם נפרצו וכעת הם מכוונים גולשים המגיעים אל האתר לאתר אחר המנסה להתקין קוד זדוני על המחשב.

בריאן קרבס, מומחה אבטחת מידע ולשעבר כתב של עיתון הוושינגון פוסט, דיווח בסוף השבוע כי עשרות בלוגרים המשתמשים בפלטפורמת WordPress לניהול הבלוג שלהם התלוננו בימים האחרונים כי האתרים שלהם נפרצו וכעת הם מכוונים גולשים המגיעים אל האתר לאתר אחר המנסה להתקין קוד זדוני על המחשב.

לפי הפרסומים במספר פוסטים בפורום המשתמשים של וורדפרס ובמקומות אחרים ברשת, המתקפה לא משנה או יוצרת קבצים חדשים על-גבי השרת, אלא פשוט מכניסה את כתובת האתר “networkads.net/grep” ישירות לתוך ה-Database של מערכת ה-Wordpress כך שכל ניסיון לגשת לאתר הפרוץ מפנה את הבמקר אל האתר networkads.net. כמו כן, מאחר והמתקפה פועלת על כל כתובת ה-URL הנמצאות תחת האתר, היא גם מונעת מהכותבים עצמם להיכנס לבלוג שלהם באמצעות מערכת הניהול של WordPress המותקנת על-גבי השרת.

ההפנייה שנוצרה באתרים כתוצאה מהפריצה גורמת למשתמשים המנסים להיכנס לבלוגים הפרוצים להגיע לאתר Networkads.net אשר מנסה לגרום למשתמשים להתקין תוסף ActiveX המחיל גרסה של סוס טרויאני בשם Win32.VBKrypt.iv. לפי בדיקה שביצע קרבס באתר Virustotal.com, רק 7 מנועי אנטי-וירוס הצליחו לזהות את הקובץ המדובר כזדוני ועשרות מנועים, ביניהם המנועים הפופולאריים של סימנטק, טרנד-מיקרו ומיקרוסופט לא זיהו כי מדובר בקובץ זדוני.

בשלב זה עדיין לא ברור האם הפירצה עושה שימוש בחור אבטחה במערכת ה-Wordpress עצמה או שמא מדובר בעיית אבטחת באחד מהתוספים של המערכת, אך המכנה המשותף היחיד שנמצא עד כה הוא שחלק גדול מהבלוגרים שהתלוננו על המתקפה מאחסנים את האתרים שלהם אצל ספק בשם Network Solutions המחזיק ארבעה מרכזי שרתים ברחבי ארצות הברית וקנדה. דוברת החברה, סוזן וייד, הודיעה כי החברה כרגע חוקרת את מקור ההתקפות והיא מאמינה כי המתקפה מנצלת פירצת אבטחה באחד מהתוספים של מערכת ה-Wordpress. וייד גם עדכנה כי הפריצות אינן מוגבלות ללקוחות Network Solutions בלבד, אך היא לא ציינה לקוחות נוספים של חברות אחרות הסובלים מאותן הבעיות.דיויד דיד, מומחה אבטחת מברזיל, כתב פוסט בבלוג האישי שלו בו הוא מתאר כיצד עזר לעשרות בלוגרים “לטפל” בבעייה. הוא מציין כי לאחר הפריצה, הוא התקין מחדש עותק נקי לחלוטין של WordPress על גבי השרת, אך שעות ספורות לאחר מכן נפרץ האתר שוב והכתובת במסד הנתונים שונתה ל-Networkads.net. מכאן מסיק דיד, כי הבעייה כפי הנראה אינה באחד מהתוספים אלא בחור אבטחה אחר במערכת ה-Wordpress או אפילו ישירות במסד הנתונים עליו מבוססת המערכת, MySQL.

קרבס מסביר כיצד לתקן את הבעייה במידה והבלוג שלכם נפרץ. במידה והבלוג שלכם נפרץ, מאחר ואינכם יכולים לגשת לממשק הניהול של WordPress, יש לגשת ישירות לממשק הניהול של מסד הנתונים MySQL המותקן על השרת ולשנות את הערך של השדה SiteURL בטבלת wp_options בחזרה לכתובת המקורית של האתר. לאחר מכן, יש לערוך את קובץ ה-wp_config.php ולהכניס ערך תחת הסעיף SiteURL על-מנת שגם אם הכתובת במסד הנתונים תשתנה שוב (בעקבות פריצה נוספת), קובץ הקונפיגורציה יקבל עדיפות על ההגדרה של מסד הנתונים והאתר לא יהיה מושפע מהשינוי.

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

2 תגובות על "וורדפרס תחת מתקפה – עשרות בלוגים מבוססי וורדפרס נפרצו בשבוע האחרון"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ירון שהרבני
Guest

או ואבוי! איזה אסון! אתם יודעים מה הווירוס הזה יכול לעשות לאובונטו שלי?
כן, ניחשתם נכון… לנשק לו את הישבן….

אור
Guest

גם כאלו שלא משתמשים באקספלורר לא אמורים לסבול מהבעיה.

wpDiscuz

תגיות לכתבה: