网站管理员在他们的网站上发现一条令人讨厌的错误信息可能会引发一场大规模的休息,这要归功于Gumblar僵尸网络作者的疏忽。
成千上万的网站,其中许多小网站正在运行WordPress博客软件已被破解,并在最近几周内返回了“致命错误”的信息。根据安全专家的说法,这些消息实际上是由Gumblar的作者偷偷摸摸地在他们身上产生的恶意代码产生的。
Gumblar在5月份成为头条新闻,当时它出现在成千上万的合法网站上,发布了所谓的“驱动下载”代码通过各种在线攻击攻击受感染的访问者。僵尸网络在七月和八月期间一直很安静,但最近又开始感染计算机。
[进一步阅读:如何从Windows PC中删除恶意软件]然而,显然最近对Gumblar的Web代码所做的一些更改根据独立安全研究员Denis Sinegubko的说法,这个问题
Sinegubko五天前才知道这个问题,当时他被Unmask Parasites网站检查员的一个用户接触。经过调查,Sinegubko发现Gumblar应该受到指责。 Gumblar的作者显然在没有进行正确测试的情况下对他们的Web代码进行了一些更改,结果“当前版本的Gumbar有效地破坏了WordPress博客”,他在一篇描述该问题的博客文章中写道
该错误没有只是影响WordPress的用户,Sinegubko说。 “通过即时消息,任何PHP网站都会受到影响,”他通过即时消息说道。
由于错误代码导致崩溃的WordPress网站显示以下错误消息:致命错误:无法重新声明xfm() /path/to/site/index.php(1):eval()'d code:1)
在/path/to/site/wp-config.php(1):eval()'d code on第1行
Sinegubko说,其他运行Joomla等软件的网站会得到不同的致命错误消息。 “这是一个标准的PHP错误,”他说。 “但是Gumblar注入恶意脚本的方式会使它总是显示如下的字符串:eval()在第1行上的代码”
这个bug对网站管理员来说可能看起来很烦,但实际上它是一个好消息。实际上,这些消息警告了Gumblar的受害者,他们已经被入侵。
安全厂商FireEye表示,被黑网站的数量可能高达数十万。 FireEye营销总监Phillip Lin表示:“由于事实上他们是越野车,现在你可以做这个谷歌搜索,你可以找到成千上万的基于PHP的网站,他们已经入侵了。 “网络犯罪分子犯了一个错误。”
然而,Lin指出,并非所有受Gumblar感染的网站都会显示此消息。
Gumblar首先在桌面上运行并窃取FTP,从而在网站上安装错误代码(文件传输协议)登录信息,然后使用这些凭据在网站上放置恶意软件。怀疑其网站已被感染的网站管理员可以遵循Sinegubko博客上发布的检测和删除说明。只需更改FTP凭证即可解决问题,因为Gumblar的作者通常会安装访问站点的后门方法。