Twitter
Google plus
Facebook
Vimeo
Pinterest

Fluid Edge Themes

Blog

Home  /  #SafellyWordpress   /  Nieaktualne i dziurawe wersje Drupala i WordPressa kopią nielegalnie kryptowaluty

Nieaktualne i dziurawe wersje Drupala i WordPressa kopią nielegalnie kryptowaluty

Co łączy WordPressa i Drupala? Są to systemy zarządzania treścią, posiadające duże wsparcie społeczności. Jest na nich stworzona ogromna ilość stron, sklepów internetowych itp. Zapewne znalazło by się jeszcze kilka podobieństw. Tym razem niestety piszemy o zmasowanych atakach, jakie na te platformy są przeprowadzane w ostatnim czasie. Celem cyberprzestępców jest uruchomienie nielegalnych koparek kryptowalut.

Co się dzieje?

Zainfekowane strony kopią kryptowaluty, które przynoszą zysk cyberprzestępcy. W jednym z ataków chodzi o kopanie na komputerach odwiedzających stronę – powoduje to zwolnienie strony u potencjalnych Klientów i zwiększenie ich opłaty za prąd.

Przypadek WordPressa to natomiast kopanie na samym serwerze – to z kolei powoduje zwolnienie całego serwera, zwiększenie opłaty za serwer, a w niektórych sytuacjach całkowitą blokadę strony.

Przypadek Drupala

Drupalgeddon

Źródło: avlab.pl

Niestety, w przeciągu miesiąca w Drupalu odkryto dwie poważne dziury pozwalające wykonać dowolny kod. Dziury te opisywaliśmy tutaj oraz tutaj.

Niestety – okazało się, że nie wszyscy poważnie potraktowali błędy i Drupale nie zostały wszędzie zaktualizowane. Skutkuje to przejęciem części stron internetowych i kopaniem na nich kryptowalut dla cyberprzestępców.

https://i0.wp.com/badpackets.net/wp-content/uploads/2018/05/domains-by-country.png?w=321&ssl=1

Źródło: badpackets.net

Przejęte strony to m.in. rządowe strony amerykańskie, uniwersytety, czy strona należąca do Lenovo. Na liście znajduje się także strony polskich firm.

Przypadek WordPressa

Jeżeli chodzi o WordPress to tutaj sprawa ma się nieco inaczej. To co łączy go z Drupalem to skala ataku oraz kopanie kryptowaluty dla cyberprzestępcy.

Zaatakowana strona korzystająca z WordPress nie ma na celu infekcji odwiedzających – a samego serwera na którym jest strona. Służy do tego specjalny plik wykonywalny na Linuxie:

Źródło: wordfence.com

Atak może powodować spowolnienie całej strony, podwyższenie rachunku za serwer lub nawet całkowitą blokadę strony.

Co zrobić?

Należy zawsze pamiętać o aktualizacji oprogramowania. Oba przypadki są konsekwencją braku aktualizacji.

W przypadku ataku, który się powiódł konieczne może być zeskanowanie – automatycznymi skanerami (jak Wordfence) lub ręcznie przez specjalistę. Przy okazji tego ataku warto wspomnieć, że posiadanie odpowiedniej ochrony, np. takiej jaką daje Safelly pozwoli wykryć wiele z takich akcji cyberprzestępców, a także szybko przywrócić niezainfekowaną, czystą wersję strony.

Źródła:

https://avlab.pl/pl/sa-juz-efekty-drupalgeddonu-niezaktualizowane-polskie-strony-kopia-kryptowalute

WordPress: Tracking Emerging Cryptomining Threats

Post a comment

Najnowsze wpisy