Сървъри на WordPress са обект на криптоджакинг плъгини

WordPress плъгините обикновено се използват, за да предоставят на уеб администраторите допълнителна функционалност за техните уебсайтове.

Това, което те може да не знаят е, че някои от тези плъгини могат да съдържат скрит вирус за добив на криптовалута.

Изследователи от уебсайта на компанията за сигурност и откриване на заплахи – Sucuri, откриха няколко WordPress плъгина, които съдържат функции, използвани за добив на криптовалута чрез засегнатите машини.

Според Sucuri, те приемат прикритието на няколко популярни WordPress плъгина, клонирайки техните функции, като същевременно добавят функционалност, която позволява на приставката да променя разрешенията на базовия сървър.

По този начин нападателят е в състояние тайно да стартира код на сървъра, включително двоичен файл за копаене на криптовалута, известен като „Multios.Coinminer.Miner-6781728-2“.

След като крипто копачът Multios се внедри в целевата система, тя започва да работи безшумно във фонов режим, използвайки сървърни ресурси, за да добива криптовалутите, които се връщат обратно към хакера.

Sucuri също откри, че този конкретен злонамерен плъгин е копие на версия 1.16.16 на UpdraftPlus, приставка за WordPress, използвана за опростяване на архивирането. Два често открити варианта на злонамерената приставка са известни като „initiatorseo“ или „updrat123“.

За съжаление, премахването на приставката обикновено не разрешава проблема, тъй като само оригиналните инсталационни файлове за плъгин ще бъдат премахнати, оставяйки злонамерения двоичен код недокоснат.

Вместо това, “уебмастърите” ще трябва да гарантират, че ще извършват редовни сканирания за защита на сървъра, което ще спомогне за откриването на кода на хакерите и би трябвало да поддържат правилен контрол върху разрешенията за достъп.

Потребителите на WordPress трябва да се подсигурят, че на техния сървър работи ‘firewall’ за уеб приложения или могат да използват приставката на WordPress „Sucuri Scanner“.