Botnet författare Crash WordPress-webbplatser med Buggy Code

Webbmästare som hittar ett irriterande felmeddelande på deras webbplatser kan ha fått en stor paus tack vare att Gumblar botnet upphörde.

Tusentals webbplatser, många av dem små webbplatser som körs WordPress-bloggarprogrammet har blivit trasigt och återkommer ett meddelande om "dödligt fel" under de senaste veckorna. Enligt säkerhetsexperter genereras de här meddelandena faktiskt av någon buggy-skadlig kod som släpptes på dem av Gumblars författare. Gumblar gjorde rubriker i maj när det uppträdde på tusentals legitima webbplatser och skickade det som kallas "drivrutin för nedladdning" -kod som attackerar infekterade besökare med en mängd olika onlineattacker. Botnetet hade varit tyst under juli och augusti, men har nyligen börjat infektera datorer igen.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Tydligen har vissa senaste ändringar som gjorts i Gumblar webbkod orsakats Problemet, enligt oberoende säkerhetsforskare Denis Sinegubko.

Sinegubko lärde sig om frågan ungefär fem dagar sedan när han kontaktades av en av användarna på sin Unmask Parasites Webbplatskontrollör. Efter att ha undersökt upptäckte Sinegubko att Gumblar var skyldig. Gumblars författare gjorde uppenbarligen vissa ändringar i deras webbkod utan att göra rätt testning, och som ett resultat "den nuvarande versionen av Gumbar bryter effektivt WordPress-bloggar" skrev han i ett blogginlägg som beskriver problemet.

Felet gör inte bara påverka WordPress-användare, sade Sinegubko. "Varje PHP-webbplats med komplicerad filarkitektur kan påverkas", sa han via snabbmeddelande.

WordPress-webbplatser som har kraschat på grund av buggy-koden visar följande felmeddelande: Felaktigt fel: Kan inte omklara xfm () (tidigare deklarerat i /path/to/site/index.php(1): eval () 'd-kod: 1)

i /path/to/site/wp-config.php(1): eval ()' d kod på rad 1

Andra webbplatser som kör programvara som Joomla får olika dödliga felmeddelanden, säger Sinegubko. "Det är ett vanligt PHP-fel", sa han. "Men hur Gumblar injicerar skadliga skript gör det alltid att visa strängar som: eval () 'd-kod på rad 1'

Felet kan tyckas vara en irriterande för webbansvariga, men det är faktiskt en välsignelse. I själva verket varnar meddelandena Gumblar offer att de har äventyras.

Säkerhetsleverantör FireEye sa att antalet hackade webbplatser kunde vara i hundratusentals. "På grund av att de är buggy kan du nu göra Google-sökningen och du kan hitta hundratusentals php-baserade webbplatser som de har äventyrat", säger Phillip Lin, marknadschef med FireEye. "Det var ett misstag som gjordes av de cyberkriminella."

Inte alla Gumblar-infekterade webbplatser kommer att visa detta meddelande, men Lin noterade.

Gumblar installerar sin buggy-kod på webbplatser genom att först springa på skrivbordet och stjäla FTP (File Transfer Protocol) inloggningsinformation från sina offer och sedan använda dessa referensuppgifter för att placera skadlig kod på webbplatsen. Webbmästare som misstänker att deras webbplatser har blivit smittade kan följa detektering och borttagningsinstruktionerna på Sinegubkos blogg. Att bara ändra FTP-uppgifter kommer inte att lösa problemet, eftersom Gumblar författare brukar installera en bakdörrsmetod för att komma åt webbplatser.