Autores de botnets bloquean sitios de WordPress con código Buggy

Los webmasters que encuentran un mensaje de error molesto en sus sitios pueden haber tomado un gran respiro, gracias a un error cometido por los autores de la botnet Gumblar.

Decenas de miles de sitios web, muchos de ellos sitios pequeños funcionando el software de blog de WordPress se ha roto, y en las últimas semanas devuelve un mensaje de "error fatal". Según los expertos en seguridad, esos mensajes son en realidad generados por algún código malicioso que los autores de Gumblar introdujeron en ellos.

Gumblar llegó a los titulares en mayo cuando apareció en miles de sitios web legítimos, publicando lo que se conoce como código de "descarga directa" que ataca a los visitantes infectados con una variedad de ataques en línea. La botnet había estado en silencio durante julio y agosto, pero recientemente ha comenzado a infectar computadoras nuevamente.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Aparentemente, algunos cambios recientes en el código web de Gumblar causaron el problema, de acuerdo con el investigador de seguridad independiente Denis Sinegubko.

Sinegubko se enteró del problema hace unos cinco días cuando uno de los usuarios de su inspector del sitio web Unmask Parasites se puso en contacto con él. Después de investigar, Sinegubko descubrió que Gumblar tenía la culpa. Al parecer, los autores de Gumblar hicieron algunos cambios en su código web sin hacer las pruebas adecuadas, y como resultado "la versión actual de Gumbar efectivamente rompe los blogs de WordPress", escribió en una publicación de blog que describía el problema.

El error no solo afecta a los usuarios de WordPress, dijo Sinegubko. "Cualquier sitio PHP con arquitectura de archivos compleja puede verse afectado", dijo a través de un mensaje instantáneo.

Los sitios de WordPress que se han bloqueado debido al código erróneo muestran el siguiente mensaje de error: Error fatal: no se puede redeclarar xfm () (declarado previamente en /path/to/site/index.php(1): eval () 'd code: 1)

en /path/to/site/wp-config.php(1): eval ()' d code on línea 1

Otros sitios que ejecutan software como Joomla reciben diferentes mensajes de error fatal, dijo Sinegubko. "Es un error estándar de PHP", dijo. "Pero la forma en que Gumblar inyecta scripts maliciosos hace que siempre muestre cadenas como: eval () 'd code en la línea 1"

El error puede parecer una molestia para los webmasters, pero en realidad es una bendición. En efecto, los mensajes advierten a las víctimas de Gumblar que se han visto comprometidas.

El vendedor de seguridad FireEye dijo que la cantidad de sitios pirateados podría ser de cientos de miles. "Debido al hecho de que tienen errores, ahora puede hacer esta búsqueda en Google y puede encontrar cientos de miles de sitios basados ​​en PHP que se han visto comprometidos", dijo Phillip Lin, director de marketing de FireEye. "Hubo un error cometido por los ciberdelincuentes".

No todos los sitios infectados con Gumblar mostrarán este mensaje, sin embargo, señaló Lin.

Gumblar instala su código defectuoso en sitios web ejecutando primero en el escritorio y robando FTP (Protocolo de transferencia de archivos) inicie sesión con la información de sus víctimas y luego use esas credenciales para colocar malware en el sitio. Los webmasters que sospechan que sus sitios han sido infectados pueden seguir las instrucciones de detección y eliminación publicadas en el blog de Sinegubko. El simple hecho de cambiar las credenciales de FTP no solucionará el problema, ya que los autores de Gumblar generalmente instalan un método de acceso a los sitios en la puerta de atrás.