Hacking Made Easy
Há vários anos, a empresa de publicação na web Interconnect / IT lançou uma ferramenta útil para encontrar e substituir texto no banco de dados de um site. Esta ferramenta, um arquivo autônomo publicado como searchreplacedb2.php , inclui compatibilidade incorporada do WordPress que torna o trabalho com bancos de dados do WordPress uma brisa.
Infelizmente, ele não inclui nenhuma autenticação ou medidas de segurança, o que torna a infecção dos bancos de dados do WordPress igualmente fácil.
Durante as últimas semanas, nossa Equipe de Serviços de Segurança notou um aumento nas infecções usando este script. Os hackers usam seus botnets para procurar o script em todo um site alvo. O seguinte é uma amostra de entradas de log que buscam este arquivo.
Nós rastreamos varreduras de um conjunto de IP maliciosos conhecidos nos últimos dois meses e você pode ver a atividade abaixo:
Se eles encontrarem esse arquivo, eles simplesmente o usam da mesma maneira que um proprietário do site – exceto neste caso, eles exploram um site.
Preparamos screenshots do script em ação. É um processo muito simples usando várias páginas. A primeira página solicita que o usuário escolha obter automaticamente as informações de login do banco de dados do arquivo de configuração do WordPress. Observe o aviso sobre como remover o script – o omitimos do resto das capturas de tela, mas esse aviso está realmente presente em todas as páginas.
Na segunda etapa, você confirma as credenciais de login pré-carregadas do banco de dados.
Na terceira etapa, você seleciona a (s) tabela (s) com a qual deseja trabalhar. Os hackers estão selecionando a tabela de posts.
Finalmente, você insere o texto que deseja pesquisar e o texto com o qual deseja substituÃ-lo.
Isto é o que os hackers estão fazendo:
Eles simplesmente estão procurando “<a href”, que é o código que eles sabem, estará presente em praticamente todas as postagens em um site do WordPress, e eles estão prevendo um Javascript remoto incluÃdo para ele. Este Javascript redireciona de imediato usuários através de vários sites intermediários, chegando finalmente a páginas contendo spam ou malware.
Aqui está um exemplo de uma página de destino:
Os hackers realmente nem sequer têm que percorrer cada uma dessas etapas – eles podem colapsar tudo em um único pedido. Em um instante, um site inocente é completamente seqüestrado.
Quem está por trás disso?
Como a maioria das campanhas de malware, este envolve computadores em todo o mundo sem conexão clara entre si. Muitos deles provavelmente estão infectados com malware, participando involuntariamente do botnet dos hackers. No entanto, percebemos que alguns servidores de chaves estão localizados na Holanda.
traffictrade[dot]life -> 185.183.96.33 (Host Sailor Ltd, NL)
trafficbroker[dot]club -> 185.183.96.33 (changed on June 20 from 5.149.248.164, which is registered to another Dutch company, HZ Hosting Ltd)
2clicks[dot]xyz -> 109.206.179.191 (Serverel Corp, NL)
Os dados de DNS passivos mostram que os endereços IP associados a esses nomes de domÃnio não foram alterados ao longo desta campanha. Em outras palavras, os hackers não tiveram que mudar para um novo servidor depois que seu primeiro foi desligado. Eles podem encontrar um conjunto de empresas de hospedagem holandesas indulgentes que fecham os olhos para suas atividades ilÃcitas.
A Ajuda de atualização?
Searchreplacedb2.php é realmente uma versão antiga do script. Mas a versão atual, 3.1.0, é essencialmente a mesma ferramenta e ainda não inclui nenhuma medida de segurança (além de um aviso). Portanto, atualizar para a versão mais recente não torna mais seguro.
Esta versão mais recente não é um único arquivo, mas sim é executado como uma coleção de scripts em uma pasta chamada Search-Replace-DB-master . Não temos registros de hackers que verifiquem a presença desta pasta, mas é apenas uma questão de tempo antes de adicioná-la à sua lista de objetivos.
Teste seu site
Para verificar se este arquivo está presente em seu site, basta executar uma varredura do Wordfence . Se você não estiver usando o WordPress, também pode executar um Gravityscan  – e certifique-se de instalar o Accelerator para a melhor detecção disponÃvel.
O que fazer se você for vulnerável
Se você tiver searchreplacedb2.php no seu site, mas você não precisa mais, exclua-o imediatamente.
Se você precisar usá-lo em seu site, carregue-o com um nome de arquivo diferente. Mantenha-o carregado apenas enquanto precisar, e depois remova-o imediatamente.
Um princÃpio de segurança mais amplo aplica-se aqui: execute apenas o software que você precisa. Se você deixar um rolo ao redor, se é uma ferramenta poderosa como searchreplacedb2.php ou um arquivo simples com nada além de phpinfo (), você está oferecendo parte do seu site para hackers. Se você mantém plugins e temas ao redor, mesmo que você não os use, você está mantendo um risco que é completamente desnecessário.
O que fazer se você foi hackeado
Se você tiver searchreplacedb2.php não seguro em seu site WordPress, então as chances são altas, você provavelmente foi pirateado. Se você o tiver e seus usuários estiverem sendo redirecionados, então você definitivamente foi pirateado. Dirija-se à nossa página de limpeza do site e deixe os especialistas em nossa equipe de serviços de segurança lidar com isso.
Lição para desenvolvedores
Desenvolvedores, tome cuidado: não importa se você colocar um aviso de segurança em todas as páginas do seu produto. Não importa o quão ousada é a fonte ou a extrema expressão do texto, ou como é fácil para o usuário excluir o script vulnerável quando terminar com ele. Os usuários ainda esquecerão ou simplesmente ignorarão as advertências, e quando isso acontecer, os maus ganhariam. Faça seu código seguro por padrão.
Conclusão
Como sempre, esteja ciente do que está instalado no seu sistema, e rotineiramente alista a ajuda do Wordfence e Gravityscan para ajudá-lo a encontrar os possÃveis obstáculos de segurança.
Esta publicação no blog foi escrita por Brad Haas, um analista sênior de segurança na Wordfence e lÃder de equipe para nossa equipe de serviços de segurança. Brad tem anos de experiência tanto na resposta a incidentes quanto na obtenção de redes governamentais sensÃveis.Â
