Hơn 100.000 website sử dụng WordPress bị dính malware

Cuối tuần qua, nhóm nghiên cứu bảo mật tại Sucuri đã phát hiện ra hơn 100.000 trang web làm bằng WordPress đã bị lây nhiễm một loại malware có tên là SoakSoak.ru. Chính loại malware này đã khiến hơn 11.000 tên miền bị liệt kê vào danh sách đen (blacklist) của Google. SoakSoak thay đổi file wp-includes/template-loader.php để có thể chèn javascript, trong đó chứa các phần mềm độc hại, vào tất cả các trang trang web bị nó xâm nhập.

Hơn 100.000 website sử dụng WordPress bị dính malware.

wordpress-security-malware-soak-soak-slider-revolution

Cuối tuần qua, nhóm nghiên cứu bảo mật tại Sucuri đã phát hiện ra hơn 100.000 trang web làm bằng WordPress đã bị lây nhiễm một loại malware có tên là SoakSoak.ru. Chính loại malware này đã khiến hơn 11.000 tên miền bị liệt kê vào danh sách đen (blacklist) của Google.

SoakSoak thay đổi file wp-includes/template-loader.php để có thể chèn javascript, trong đó chứa các phần mềm độc hại, vào tất cả các trang trang web bị nó xâm nhập. Bạn có thể kiểm tra xem trang web của bạn bị ảnh hưởng hay không bằng cách sử dụng ứng dụng SiteCheck miễn phí của Sucuri.

Sau khi nghiên cứu các website bị lây nhiễm, Sucuri nhận thấy phương tiện tấn công của SoakSoak là những lỗ hổng bảo mật nghiêm trọng được phát hiện trong plugin Slider Revolution và chúng đã được công bố vào tháng 9. Tại thời điểm đó, Envato đã xác định được hơn 1.000 WordPress themes được bán thông qua “chợ themes” của họ (Themeforest) có khả năng bị ảnh hưởng bởi lỗ hổng đặc biệt nguy hiểm này.

Các lỗi bảo mật của Slider Revolution, mặc dù đã được âm thầm vá lại trong tháng 2, đã bị khai thác một cách “tích cực” kể từ khi công bố thông tin. Nhiều nhà quản trị website WordPress đã không cập nhật plugin Revolution Slider để kịp thời bổ sung các bản vá và để trang web của họ trong trạng thái “mời gọi” hacker. Kể từ khi phát hành, plugin này đã được đóng gói kèm với nhiều Wordpress themes bán trên Themeforest và không phải webmaster nào cũng nhận thức được rằng trang web của họ rất dễ bị tấn công.

Theo báo cáo từ Sucuri, các cuộc tấn công SoakSoak trước tiên sẽ quét qua các trang web để xác định vị trí của các tập tin dễ bị tổn thương trong plugin Slider Revolution và chiếm quyền truy cập vào tập tin wp-config.php. Nếu thành công, những kẻ xâm nhập sau đó sẽ cố gắng để upload một theme độc hại vào các trang web và đồng thời chèn các Filesman backdoor. Những kẻ tấn công sau đó có thể chèn thêm các backdoor khác để chỉnh sửa tập tin swfobject.js và chèn malware để chuyển hướng khách truy cập vào trang soaksoak.ru.

Cuộc tấn công bằng phần mềm độc hại (malware) này đặc biệt khó khăn trong việc khắc phục. Nếu trang web của bạn đã bị xâm nhập, bạn có thể không chỉ đơn giản là loại bỏ các tập tin bị nhiễm. Các backdoor cũng như các lỗ hổng bảo mật trên Slider Revolution đều cần phải được giải quyết. Sucuri khuyến cáo nên ngăn chặn các cuộc tấn công malware thông qua một tường lửa (firewall). Nếu trang web của bạn hoặc một trong các khách hàng của bạn đang sử dụng plugin Slider Revolution thì tốt nhất bạn nên nhanh chóng kiểm tra xem có bị ảnh hưởng bởi lỗi này hay không và cập nhật trang web cũng như plugin ngay lập tức.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)


Bài liên quan