Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Ataque em grande escala a sites Wordpress

De acordo com a noticia do The H (e várias outras fontes), grande quantidade de blogs hospedados em serviços compartilhados de grandes provedores (Dreamhost, GoDaddy, Bluehost, Network Solutions e Media Temple) e rodando WordPress foram atacados para inserção de scripts para levar malwares aos seus usuários. Outros aplicativos on-line (como o Zen Cart) em PHP também teriam sido afetados.

Notícias iniciais informam que a invasão não explora nenhuma falha do WordPress em si, mas sim na infra-estrutura destes provedores, ou possivelmente usa listas de senhas previamente comprometidas. A causa real ainda estava por ser determinada no momento do fechamento desta notícia.

Já há análise de vários exemplares do código inserido, que usam vários recursos que vêm se tornando comuns para dificultar a detecção da invasão por meio de recursos de segurança dos navegadores ou mesmo dos sites de busca.

Consta que os ataques afetaram tanto instalações correntes quanto as desatualizadas de WordPress, mas apenas em servidores compartilhados – aparentemente servidores virtuais estão imunes no momento. Há relatos de que outros sistemas em PHP, como o Zen Cart também teriam sido afetados.

Se o seu blog foi afetado, há instruções para remoção do código inserido nele, mas pode valer a pena procurar instruções junto ao seu provedor, pois a remoção do código malicioso nada fará para resolver a falha que permitiu a sua inserção, que poderá voltar a ocorrer. (via h-online.com)


• Publicado por Augusto Campos em 2010-05-11

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Filipe Saraiva (usuário não registrado) em 11/05/2010 às 9:03 am

    Augusto, e tem alguma forma de detectar se um site sofreu este tipo de ataque ou não?

    Filipe, acho que um jeito facil é procurar pela inserção de código no seu footer.php, ou outros arquivos php do blog. Os links acima, da análise e remoção do código, dão dicas do que procurar.

    devnull (usuário não registrado) em 11/05/2010 às 9:47 am

    Solução definitiva: parar de usar PHP.

    Jack Gold (usuário não registrado) em 11/05/2010 às 9:51 am

    grep -lir “parte do código malicioso” *

    leo (usuário não registrado) em 11/05/2010 às 11:18 am

    pq o simbolo do php ? uhahuahu

    eerddgdsg (usuário não registrado) em 11/05/2010 às 12:58 pm

    @Jack Gold
    o problema é quando tu não tem acesso a um terminal no teu servidor. por exemplo o host que eu uso, eu só posse upar arquivos lá por ftp e nada mais.

    Aline (usuário não registrado) em 11/05/2010 às 2:17 pm

    Pelos relatos que tenho lido, podemos dizer que se trata de um ataque de larga escala a sites PHP e não apenas WordPress. Há relatos de Joomla e outros applicativos PHP infectados. A única semelhança identificada até o momento é o fato de estarem hospedados em servidores compartilhados (Dreamhost, Media Temple, GoDaddy, etc)

    Lucas Fernando Amorim (usuário não registrado) em 11/05/2010 às 5:07 pm

    Não é uma falha do PHP em si, são falhas de ambientes compartilhados.

Este post é antigo (2010-05-11) e foi arquivado. O envio de novos comentários a este post já expirou.