Júliusi “levéleső” – MailPoet (Wysija) levélküldő plugin sérülékenység



Megjelent: 2014.07.22.

Júliusi “levéleső” – MailPoet (Wysija) levélküldő plugin sérülékenység

Több tárhelyszolgáltató webmestere nem unatkozhatott az elmúlt hetekben, lehet még most is nyaldossák sebeiket. Ismét egy nagyon gyorsan terjedő vírus fertőzés terjed az interneten. Ami ráadásul még a levelező szervereket is terheli.

A vírus a MailPoet kiegészítő (régebben Wysija hírlevélküldő) sérülékenységét használja ki.

Közel 1.8 millió honlap fertőződhetett meg…

A MailPoet Newsletter 3.8.3 és az alatti verziók érzékenyek a fertőzésre. Így azoknál akik nem frissítették honlapjukat időben, azok megfertőződhettek és tovább terjesztik a víruskódot, ami újra és újra írja önmagát.

Az infekciót követően a szerveren lévő PHP állományok első sorába bemásolja magát a vírus. A fertőzött PHP állományt meghívva ismét lefut a kód és ismét leveleket küld és tovább fertőz és tovább másolódik. Ezzel növelve a fertőzést és a szerver terheltségét. A kódot próbáltam visszafejteni, de annyira obfuszkált és “elkódolt”, hogy 3-4 óra után feladtam idő hiányában. Ugyanakkor a fertőzés metódusa már ismert.

Amikor adminisztrálsz weboldaladon, akkor a vírus azonnal működésbe lép…

Beírja magát az admin-post.php állomány első sorába és amikor egy a honlapot adminisztráló személy bármilyen bejegyzést szerkeszt a saját weboldalán, akkor a vírus azonnal működésbe lép és levelet küld és tovább terjed. Megváltoztatja a wp-config jogosultsági szintjét (0440-ről) 0777-re ezzel kiszolgáltatva a honlapot további fertőzésekkel szemben.

A vírus feltölti magát (WordPress esetén) a wp-content/uploads/wysija/themes/mailp/ alkönyvtárba. Innen fertőz meg további állományokat a szerveren. Ezáltal megnyitja a lehetőséget, hogy további állományokat lehessen feltölteni a szerverre a megfelelő hozzáférési jogosultságok nélkül!

Közös tárhelyeken mindent fertőz amit csak elér, “szomszédos” tárhelyeket is. Legyen az Joomla, WordPress, Magento (…), nem számít fertőz.

Szóval vedd komolyan és védekezz ellene, mert igen komoly veszélyt jelent a honlapod számára. Bizonyos esetekben a mutáció olyan mértékben lép fel a vírusnál (talán hiba), hogy PHP hibaüzenetet generál a lefutásakor és a honlapod helyett szintaktikai hibaüzenetet olvasható.

Ezért mondom én mindig: