Про wordpress и трояны

Кулхацкер такой кулхацкерДа, сегодня именно про это — wordpress и трояны.
Как известно, различные малохольные граждане, желая привлечь дополнительное внимание к своему бложеку, периодически начинают визжать что-то вроде: ой, меня на днях поломали, ой бида-бида.

Надо ли говорить, насколько жалкими и убогими выглядят такие попытки привлечения внимания?

Однако некоторые тщеславные олени идут еще дальше.

Как-то раз мне довелось читать «шокирующие откровения» одного придурка, который на полном серьезе уверял всех присутствующих в том, что его, бедняжечку, захватили в плен злые дяди, когда он поехал в другой город давать какие-то там «сэо-консультации».
Схватили его, значит, и стали вымогать явки, пароли от сайтов, доменов и всякое такое.

(Подозреваю, что этот «реальный случай» был скопирован с другого весьма мутного случая, который якобы произошел с админом домена lostfilm.tv).

Естественно, в комментах тут же обнаружилось стадо «сочувствующих» баранов, и немедленно начался сеанс массового сетевого моления, с его классическим «держись», «мы с тобой», ну и так далее.

Дальше было еще интереснее.

Кроме «сочувствующих», в комментах нашлись отдельные (вменяемые) граждане, которые все-таки усомнились в правдивости опубликованного сообщения.
После этого в тех же комментах появилась «жена» нашего бедного «страдальца за пГавду», и начала визжать что-то типа: у человека горе, да как же вы можете, гадкие-гадкие-гадкие.

Как бы там ни было, цель этого убогого спектакля была достигнута – страдалец получил некоторое количество входящих ссылок (ради которых вся эта клоунада, собственно, и затевалась).

Все это здесь пишется для того, чтобы дать понять читателю: в этих ваших интернетах не следует верить никому и ничему. А особенно (особенно!) не следует верить всему, что пишут писаки под названием «блоггеры», да.

Прежде чем начать ураганно сочувствовать всему, что движется в пределах того или иного бложека, надо спросить себя: а зачем оно здесь появилось?

И после тщательного обдумывания этого вопроса обычно все становится на свои места.

Я никогда не был склонен учинять подобные спектакли. Хотя разного рода инциденты периодически происходят и здесь. Но они уже стали чем-то обыденным и рутинным.

Взять хоть тех же брутфорсеров, которые долбятся сюда с упорством ручной обезьянки. Список блокированных айпишников, кажется, уже можно продавать за деньги.
Но все это, повторюсь – просто скучно.

Однако иногда находятся граждане, которым удается немного разогнать общее уныние. Эти граждане периодически пытаются подсунуть в wordpress трояны, или что-нибудь поинтереснее.

Вчера, к примеру, произошло именно это.
Открываю админку – сюрпрайз!
Антивирус громко завизжал, и сообщил, что мы все умрем.

В этом месте я планировал выложить пару подтверждающих скринов статистики антирвиря,  но потом я решил от этого отказаться. И нет, я не скажу вам, что это был за антивирус.

Вместо этого я скажу вам, что он обнаружил.
А обнаружил он зловреда под названием BV.KillAV-BY, который должен был загрузиться на комп при попытке войти в админку блога. Параллельно с этим загружался еще и один хитрый инфрейм, который… впрочем, неважно.

К слову сказать, в хваленой лаборатории имени каспера – точного описания данного зловреда вы не найдете.
Найти что-то отдаленно похожее можно только за бугром. К примеру вот тут: pcsafedoctor.com/Unknown/remove-BV.KillAV-B.html. Если верить тому, что там написано – зловред шибко лютый, и избавиться от него не так-то просто.

В целом задумка юных кулхацкеров вполне понятна. Нахрена выискивать, на каких сайтах бывает тот или иной товарищ, и пытаться выловить его там, когда можно протроянить товарища через его же собственную админку, в которую он лазает ежедневно?
Именно это здесь и пытались проделать.

Почему такое непотребство стало возможным?

Конечно же, из-за моего раздолбайства и лени. Движки надо обновлять чаще, и не ездить на всяком старье. Если этого не делать – сюрпризы будут регулярными.

В этом месте у вас может возникнуть вопрос: а как же хваленый линупс, которому плевать на все эти вордпрессовые трояны и прочее?

А линупс в данном конкретном случае может оказать вам медвежью услугу, как это ни парадоксально. Зловред сидит в движке, но под линупсом – вы этого не увидите. Зато это рано или поздно увидит поисковик (или добрый посетитель, который поможет поисковику увидеть, да).
И рядом с адресом вашего любимого сайтика в выдаче искалки появится интересная предупреждающая надпись. О том, что данный сайт может нанести… ну вы поняли, короче.

Надо ли говорить, что количество граждан, заходящих с поиска на такой сайт, со временем начнет стремиться к нулю? А вы будете сидеть, чесать репу, и гадать, что происходит.

Но пора закругляться.

Как я уже говорил, если приглядеться, то в любом непотребстве всегда можно найти что-то хорошее.
Судите сами: не случись того, что описано выше – вы бы не прочитали очередной пост, а у меня еще лет сто не появилось бы повода срочно обновить движок. Кроме того, я узнал массу новых и интересных вещей, когда пытался разобраться в происходящем.
Сплошные плюсы, какбе.



Запись опубликована в рубрике Wordpress. Добавьте в закладки постоянную ссылку.

2 комментария на «Про wordpress и трояны»

  1. Константин Бояндин говорит:

    ОС (Линуксу в вашем примере) глубоко по барабану все эти трояны и прочее — ловлей этих чертей занимаются специально обученные программы. Поставьте — и будут таких «зловредов» убивать на месте.

    Так что ОС тут абсолютно ни при чём — просто нет у хостеров и пользователей традиции ставить на сервер подобные фильтры, вот и всё.

    Ну и, конечно, я посмотрю, как что-нибудь попробует загрузить что-то вредоносное с сайта на мою «Федору»…

  2. admin говорит:

    Я писал про то, что подавляющее большинство посетителей этого сайта сидят на винде.
    А на сайт попала зараза.
    Которая в линуксе не видна.
    А чтобы была хоть одна разумная причина поставить в линукс эту «обученную программу» — надо как минимум знать, что на сайте есть зараза.
    Без этого знания причины ставить такую прогу просто нет. Но поскольку «линуксу по барабану» — то узнать, что твой сайт заражен, ты вероятно никогда не сможешь.
    Либо узнаешь, но только после того, как сайт выкинут из индекса.
    В итоге получается очень нехороший замкнутый круг, о чем и было написано.

Обсуждение закрыто.