46664660 na@drweb.no
Vi har byttet navn tilFjordweb Solutions AS

For noen uker siden så vi et stort angrep av SoakSoak. Nå ser vi en ny malware kampanje som utnytter en sårbarhet i RevSlider, og tusenvis av WordPress sider har de siste dagene blitt infisert.

I motsetning SoakSoak, består denne av tre ulike kampanjer:

 

1- wpcache-blogger:

Denne kampanjen bruker domenet wpcache-blogger.com som hoved distributør. Google har nå svartelistet 12,418 domener.

Has this site hosted malware?
Yes, this site has hosted malicious software over the past 90 days. It infected 12418 domain(s), including bertaltena.com/, polishexpress.co.uk/, maracanafoot.com/.

 

2- ads.akeemdom.com

Denne kampanjen er satt igang av det samme teamet som står bak SoakSoak, men i mindre skala. Google har svartelistet 6,086 domener så langt.

Yes, this site has hosted malicious software over the past 90 days. It infected 6086 domain(s), including fitforabrideblog.com/, notjustok.com/, notanotherpoppie.com/.

 

3- 122.155.168.0

Denne kampanjen har pågått i en nesten en uke og begynte kort tid etter SoakSoak. Google har svartelistet over 9,731 domener.

Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, 122.155.168.0 appeared to function as an intermediary for the infection of 9731 site(s) including kitchenandplumbing.com/, salleurl.edu/, radiorumba.fm/.

 

WPcache-blogger Malframes

Til sammen har disse 3 kampanjene forårsaket at 28,235 websider har blitt svartelistet av Google (ifølge Googles Safe Browsing stats). Samtidig viser Sucuri sine interne analyser at det er identifisert mer enn 50,000 WordPress websider som er infisert via denne kampanjen, så ikke alle har blitt svartelistet av Google enda.

WPcache-blogger er uten sammenligning det mest aggressive angrepet vi har sett når vi ser på den hurtige veksten. Når den infiserer en side vil den ligge til følgende kode i din footer.

eval ( base64_decode("ZnVuY..

Denne kontakter http://wpcache-blogger.com/getlinks.php, og du vil se en iframe på din side. Det som er spesielt med denne er at den er svært så betinget. Hvis du prøver og laste inn siden på nytt vil den laste inn «google» via en iframe. Slik at den da ikke laster inn den skadelige programvaren.

Dette er den ekte:

<iframe src="httx://theme.wpcache-blogger.com/css&quot...

Men den vil også vise en iframe fra Google fra tid til annen, slik at det er vanskligere og oppdage:

<iframe src="http://google.com"..

Så hvis du ser en iframe til Google.com på din side, er du mest sannsynlig blitt utsatt for hacking.

 

Opprydding og beskyttelse

Som ved forrige RevSlider problemer må du oppdatere den så fort  som mulig for å stenge for nye angrep. Dette vil ikke fjerne problemet, men det vil bidra til å kontrollere det.

Når Revslider er oppdatert, må du gjøre en full opprydding av området. En re-installering av WordPress vil ikke løse problemet. Som nevnt er denne kampanjen veldig lik SoakSoak, og de bruker et bredt spekter av bakdører. Ved re-installasjon vil de fortsatt kunne ha full kontroll over dine sider.

Vi anbefaler alle å ta sikkerhet på alvor, omfanget av disse angrepene øker daglig!

 

Kilde: http://blog.sucuri.net