Fraser Howard, uno de los desarrolladores de Sophos Antivirus, afirma haber descubierto un ataque masivo a Blogs con WordPress, especialmente los que están alojados en servidores estadounidenses.
Según Howard, los ataques han comenzado ya hace varias semanas; los archivos infectados tienen la extensión PHP y son añadidos a nuestro sitio. Algunos de estos archivos pueden ser:
code:
.../wp-content/plugins/wp-polls/tinymce/plugins/polls/langs/mm_menu.php
.../wp-includes/js/tinymce/plugins/media/AC_OETags.js.php
.../wp-content/uploads/2010/02/bigballs.php
.../games/IE7.php
.../wp-includes/js/tinymce/plugins/fullscreen/mod_jw_sir.php
.../es/wp-includes/js/tinymce/plugins/directionality/md5-min.php
La infección se detecta en el archivo legits.js usado por WordPress y la librería jQuery que con código ofuscado llaman a los archivos .php infectados para que se ejecuten.
Cuando se cargan estos archivos, se genera un iframe con código malicioso que infectan la máquina del visitante.
“Es el típico ataque de Injection en WordPress, en que la base de datos termina aderezada con código malicioso, sólo que en este caso el código ejecutado es un poco más complejo.”
Detalles | Large US hosting provider hit in web attack
Vía | @m_ford