Jak doszło do infekcji? Najpierw hakerzy sprawdzali, czy dana strona używa tej wtyczki, później pobierali plik wp-config,  fragment kodu ponizej:

94.153.8.126 – – [14/Dec/2014:09:59:35 -0500] “GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200 94.190.20.83 – – [14/Dec/2014:00:12:07 -0500] “GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202

W kolejnym etapie ataku instalowane było złośliwe malware, finalnym krokiem była podmiana zawartości strony i przekierowanie na soaksoak.ru. Envato juz we wrześniu przeprowadziło szeroko zakojoną akcję ostrzegawczą, juz po pierwszym wykrytej dziurze w kodzie, szczegółowy opis działań do przeczytania tutaj.

Lista szablonów, których dotyczy problem możecie znaleźć pod tym adresem. Jak zatem zapobiec kolejnym atakom? Po pierwsze, ściągnąć darmową aktualizację wtyczki, dostępną pod tym adresem.  Jeśli nie zakupiliście wtyczki bezpośrednio z CodeCanyon, a dostarczona została Wam ona wraz z szablonem powinniście w pierwszej kolejności sprawdzić, czy szablon którego używacie został zaktualizowany o najnowszą wersję RevSlidera. Polecamy także zaktualizować pozostałe wtyczki i szablony (ustawcie sobie mailowe przypomnienie o nowych aktualizacjach)

Sprawdzić swojego instancje WordPress możecie w serwisie Sucuri SiteCheck.
notify
Pamiętajcie, bezpieczeństwo Waszych stron www zależy również od Was samych! Dlatego Ekipa DailyWeb przypomina: regularnie i możliwie często aktualizujcie zakupione szablonu i wtyczki. Oby powiedzenie „mądry Polak po szkodzie” Was nie dotyczyło :)

Autor: Mateusz Gołębiewski


Posłuchaj nas!