Зламування версій WordPress до 4.7 у листопаді
Сайты WordPress в ноябре 2019 года стали жертвами широко распространенного вредоносного ПО для редиректа на рекламу. Многие
Сайти WordPress у листопаді 2019 року стали жертвами широко поширеного шкідливого програмного забезпечення для редиректу на рекламу. Багато
Сайти WordPress у листопаді 2019 року стали жертвами широко розповсюдженого шкідливого програмного забезпечення для редиректу на рекламу. Багато власників веб-сайтів WordPress зв’язувалися з нами для вирішення проблеми. Вона полягала в редиректі реклами з сайту і навіть з панелі адміністратора. Часто головна сторінка залишалася недоторканою, щоби власники довше не могли виявити зламування.
Виконуючи зачистки на цих сайтах, ми могли б знайти схожість у їхній хакерській манері. Всі ці сайти виявилися заражені одним і тим же вредним програмним забезпеченням. Це вредне програмне забезпечення перенаправляло їх спочатку на шкідливий домен з ім’ям buyittraffic [.com], а потім, нарешті, на домен з ім’ям cuttraffic [.com] або puttraffic [.com] або importtraffic [.com].
У багатьох випадках ми також бачимо, що веб-сайти перенаправляють спочатку на clicks.worldctraffic [.com], top.worldctraffic [.com], red.toupandgoforward [.com] або ticker.trasnaltemyrecords [.com] перед направленням на один з вищезгадані сайти.
власники веб-сайтів WordPress зв’язувалися з нами для вирішення проблеми. Вона полягала в редиректі реклами з сайту і навіть з панелі адміністратора. Часто головна сторінка залишалася недоторканою, щоб власники довше не могли виявити зламування.
Виконуючи зачистки на цих сайтах, ми могли б знайти схожість у їхній хакерській манері. Всі ці сайти виявилися заражені одним і тим самим шкідливим програмним забезпеченням. Це шкідливе програмне забезпечення перенаправляло їх спочатку на шкідливий домен з ім’ям buyittraffic [.com], а потім, нарешті, на домен з ім’ям cuttraffic [.com] або puttraffic [.com] або importtraffic [.com].
У багатьох випадках ми також бачимо, що веб-сайти перенаправляють спочатку на clicks.worldctraffic [.com], top.worldctraffic [.com], red.toupandgoforward [.com] або ticker.trasnaltemyrecords [.com] перед направленням на один з вищезгадані сайти.
Сайти WordPress у листопаді 2019 року стали жертвами широко поширеного шкідливого програмного забезпечення для редиректу на рекламу. Багато власників веб-сайтів WordPress зв’язувалися з нами для вирішення проблеми. Вона полягала в редиректі реклами з сайту і навіть з панелі адміністратора. Часто головна сторінка залишалася недоторканою, щоб власники довше не могли виявити зламування.
Виконуючи зачистки на цих сайтах, ми могли б знайти схожість у їхній хакерській манері. Всі ці сайти виявилися заражені одним і тим самим шкідливим програмним забезпеченням. Це шкідливе програмне забезпечення перенаправляло їх спочатку на шкідливий домен з ім’ям buyittraffic [.com], а потім, нарешті, на домен з ім’ям cuttraffic [.com] або puttraffic [.com] або importtraffic [.com].
У багатьох випадках ми також бачимо, що веб-сайти перенаправляють спочатку на clicks.worldctraffic [.com], top.worldctraffic [.com], red.toupandgoforward [.com] або ticker.trasnaltemyrecords [.com] перед направленням на один з вищезгадані сайти.
владельцы веб-сайтов WordPress связывались с нами для решения проблемы. Она заключалась в редиректе на рекламу с сайта и даже с панели администратора. Часто главная страница оставалась нетронутой, чтобы владельцы дольше не могли обнаружить взлом.
Выполняя зачистки на этих сайтах, мы могли бы найти сходство в их хакерской манере. Все эти сайты оказались заражены одним и тем же вредоносным ПО. Это вредоносное ПО перенаправляло их сначала на вредоносный домен с именем buyittraffic [.com], а затем, наконец, на домен с именем cuttraffic [.com] или puttraffic [.com] или importtraffic [.com].
Во многих случаях мы также видим, что веб-сайты перенаправляют сначала на clicks.worldctraffic [.com], top.worldctraffic [.com], red.toupandgoforward [.com] или ticker.trasnaltemyrecords [.com] перед направлением на один из вышеуказанные сайтов.
Як хакери заразили ваш сайт?
Подходя к вопросу о том, как хакеры смогли заразить такое количество сайтов.
Підходячи до питання, як хакери змогли заразити таку кількість сайтів.
Причина не така очевидна, але ми підозрюємо, що причиною може бути вразлива версія Вордпреса. Усі зламані сайти були на 3-4 версіях WordPress.
При очищенні ми змогли знайти файл adminer.php у кореневій папці всіх порушених веб-сайтів. Тому можна з упевненістю припустити, що хакери використовують сценарій адміністратора для доступу та зараження бази даних.
Поєднання вищезгаданої інформації з тим фактом, що версії WP до 4.6.3 мають серйозну вразливість. Ця вразливість дозволяє зловмисникам читати локальні файли на сервері (наприклад, wp-config.php WordPress). Ці файли містять облікові дані бази даних, які можна використовувати для доступу до бази даних.
Таким чином, ми рекомендуємо перевірити файл adminer.php або ad.php на вашому сервері і видалити його. Розпакувавши бекап на нову базу даних та чисту установку Вордпрес – повністю вирішуємо проблему в найкоротші терміни.
Причина не столь очевидна, но мы подозреваем, что причиной может быть уязвимая версия Вордпресса. Все взломанные сайты были на 3-4 версиях WordPress.
При выполнении очистки мы смогли найти файл adminer.php в корневой папке всех затронутых веб-сайтов. Поэтому можно с уверенностью предположить, что хакеры используют сценарий администратора для доступа и заражения базы данных.
Сочетание вышеуказанной информации с тем фактом, что версии WP до 4.6.3 имеют серьезную уязвимость. Эта уязвимость позволяет злоумышленникам читать локальные файлы на сервере (например, wp-config.php на WordPress). Эти файлы содержат учетные данные базы данных, которые можно использовать для доступа к базе данных.
Таким образом, мы рекомендуем вам проверить файл adminer.php или ad.php на вашем сервере и удалить его. Распаковав бекап на новую базу данных и чистую установку Вордпресс – полностью решаем проблему в кратчайшие сроки.
Як уникнути зараження?
Якщо ви ведете ваш сайт самі:
- Вчасно оновлюйте плагіни, шаблон та версію WordPress.
- Обов’язково встановіть плагін безпеки.
Якщо у вас сайт компанії чи інтернет-магазин – пропонуємо вам убезпечити бізнес раз і назавжди з нашою техпідтримкою на індивідуальних умовах.
