หนอนโจมตี WordPress

ww

ใครที่ใช้  WordPress จงระวัง หนอนที่กำลังแพร่กระจายผ่านช่องโหว่ของระบบรักษาความปลอดภัยก่อนหน้านี้ เมื่อติดมันเข้าไปแล้ว หนอนจะแทรกสแปม และมัลแวร์เข้าไปในข้อความเก่าๆ ของคุณ

“หนอนตัวนี้ฉลาดมาก มันสามารถลงทะเบียนเป็นผู้ใช้คนหนึ่ง ก่อนที่จะใช้ช่องโหว่ของระบบรักษาความปลอดภัย ที่เปิดโอกาสให้โค้ดโปรแกรมที่ผ่านการทดสอบ สามารถทำงานได้ภายใต้โครงสร้างของ Permalink (กลไกการใส่ลิงค์ที่ระบุชื่อเรื่อง หรือคีย์เวิร์ดที่ต้องการแทน URL ที่ใช้รหัสอ้างอิงที่อยู่ของข้อความที่โพสต์) ทำให้มันสามารถปลอมตัวเป็นผู้ดูแลระบบ (admin) ได้ จากนั้นมันจะใช้ JavaScript เพื่อซ่อนตัวเองเมื่อผู้ใช้เข้าไปดูหน้าเว็บ Users ดังนั้นผู้ใช้จะไม่สังเกตเห็นหนอนตัวนี้ ในขณะทีมันแทรกข้อความสแปม และมัลแวร์ซ่อนเข้าไปในข้อความเก่าๆ ที่คุณได้โพสต์ไว้แล้วก่อนหน้านี้” ข้อความเตือนในบล็อกของ WordPress

อย่างไรก็ตาม เนื่องจากหนอนตัวนี้แม้จะมีการทำงานที่ค่อนข้างฉลาด แต่ด้วยความที่ออกแบบไม่ค่อยดี ทำให้มีลิงค์ที่ใช้การไม่ได้ในหน้า User ซึ่งทำให้ผู้ใช้ทราบได้ว่า มันมีสิ่งผิดปกติเกิดขึ้นกับระบบ สำหรับหลักฐานที่แสดงว่า ระบบของคุณได้โดนหนอนตัวนี้เล่นงานแล้วมีสองประการด้วยกันคือ

1. มีโค้ดเพิ่มเติมเข้ามาใน Permalink อย่างเช่น example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/ โดยคีย์เวิร์ดที่เป็นข้อสังเกตคือ “eval” และ “base64_decode”

2.หลักฐานที่ระบุว่า มันได้สร้าง “back door” ให้กับระบบของคุณ ก็คือ แอดมินที่ถูกซ่อนไว้ หากตรวจสอบพบว่า ในไซต์ของคุณมี “Administrator (2)” หรือชื่อที่คุณไม่คุ้นเข้ามาแจม แสดงว่า เจ้าหนอนดังกล่าวได้เข้ามาพำนักในบล็อกของคุณเรียบร้อยแล้ว อย่างไรก็ตาม คุณอาจจะไม่สามารถเข้าถึงบัญชีผู้ใช้ลึกลับที่ว่านี้ได้

ปัจจุบัน WordPress จะเป็นเวอร์ชั่น 2.8.4 ซึ่งสามารถโดนหนอนดังกล่าวเล่นงานได้ อย่างไรก็ดี ทางบริษัทกล่าวว่า ผู้ใช้จะได้รับการอัพเกรดเพื่ออุดช่องโหว่อย่างเร็วที่สุดเท่าที่จะเป็นไป ได้

เครดิต www.arip.co.th