Autori di botnet Arrestano siti WordPress con codice Buggy

I webmaster che trovano un fastidioso messaggio di errore sui loro siti potrebbero aver avuto una grande interruzione, grazie a un errore degli autori della botnet Gumblar.

Decine di migliaia di siti Web, molti dei quali piccoli siti in esecuzione il software di blog WordPress, sono stati interrotti, restituendo un messaggio di "errore fatale" nelle ultime settimane. Secondo gli esperti di sicurezza questi messaggi sono in realtà generati da un codice malizioso e malevolo nascosto dagli autori di Gumblar.

Gumblar ha fatto notizia a maggio quando è apparso su migliaia di siti Web legittimi, pubblicando il cosiddetto codice "drive-by download" che attacca i visitatori infetti con una varietà di attacchi online. La botnet era rimasta silenziosa nei mesi di luglio e agosto, ma recentemente ha iniziato a infettare nuovamente i computer.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Apparentemente, tuttavia, alcune recenti modifiche apportate al codice Web di Gumblar hanno causato il problema, secondo il ricercatore indipendente di sicurezza Denis Sinegubko.

Sinegubko è venuto a conoscenza del problema circa cinque giorni fa quando è stato contattato da uno degli utenti del suo controllore del sito web Unmask Parasites. Dopo aver indagato, Sinegubko scoprì che Gumblar era da biasimare. Gli autori di Gumblar apparentemente hanno apportato alcune modifiche al loro codice Web senza fare il test corretto, e come risultato "l'attuale versione di Gumbar rompe efficacemente i blog di WordPress", ha scritto in un post del blog che descrive il problema.

Il bug non solo influenzare gli utenti di WordPress, ha detto Sinegubko. "Qualsiasi sito PHP con un'architettura di file complessa può essere interessato", ha affermato tramite messaggio istantaneo.

I siti WordPress che si sono bloccati a causa del codice buggy visualizzano il seguente messaggio di errore: Errore irreversibile: impossibile redeclare xfm () (precedentemente dichiarato in /path/to/site/index.php(1): eval () 'd code: 1)

in /path/to/site/wp-config.php(1): eval ()' d codice su riga 1

Altri siti che eseguono software come Joomla ricevono messaggi di errore fatale diversi, ha detto Sinegubko. "È un errore PHP standard", ha detto. "Ma il modo in cui Gumblar inietta script dannosi rende sempre visualizzate stringhe come: eval () 'd code on line 1"

Il bug può sembrare un fastidio per i webmaster, ma in realtà è un vantaggio. In effetti, i messaggi avvertono le vittime di Gumblar che sono stati compromessi.

Il fornitore di sicurezza FireEye ha detto che il numero di siti compromessi potrebbe essere nelle centinaia di migliaia. "Dato che sono buggy, ora puoi fare questa ricerca su Google e puoi trovare centinaia di migliaia di siti basati su php che hanno compromesso", ha affermato Phillip Lin, direttore marketing di FireEye. "C'è stato un errore commesso dai criminali informatici."

Non tutti i siti infettati da Gumblar mostreranno questo messaggio, tuttavia, ha notato Lin.

Gumblar installa il suo codice buggato sui siti Web eseguendo prima sul desktop e rubando FTP (File Transfer Protocol) informazioni di accesso dalle sue vittime e quindi utilizzando tali credenziali per inserire malware sul sito. I webmaster che sospettano che i loro siti siano stati infettati possono seguire le istruzioni di rilevamento e rimozione pubblicate sul blog di Sinegubko. Cambiare semplicemente le credenziali FTP non risolverà il problema, in quanto gli autori di Gumblar di solito installano un metodo back-door per accedere ai siti.