Investigadores de segurança do SiteLock descobriram que centenas de websites foram infectados com malware. Este malware denominado ionCube, infeta os ficheiros mas tem a caraterística de os manter quase “legítimos”.
O ionCube é uma tecnologia de codificação usada para proteger o PHP de ser visualizado, alterado e executado em computadores sem licença.
Os especialista estavam a analisar um website em wordpress quando descobriram um número considerável de ficheiros ofuscados, “diff98.php” e “wrgcduzk.php” — aparentemente ficheiros identicos a ficheiros legitimos do ionCube.
Análises posteriores vieram a confirmar o pior cenários — centenas de websites foram infetados pelo ionCube Malware.
“While reviewing an infected site, the SiteLock Research team found a number of suspiciously named, obfuscated files that appear almost identical to legitimate ionCube-encoded files. We determined the suspicious ionCube files were malicious, and found that hundreds of sites and thousands of files were affected.” reads the analysis published by SiteLock.
“Overall, our investigation found over 700 infected sites, totalling over 7,000 infected files.”
Depois de alguma investigação foi também revelado que os CMS Joomla e CodeIgniter também foram infetados para além do WordPress já conhecido.
As pesquisas revelam ainda que o malware pode infetar qualquer website que use a linguagem PHP.
“While there’s still some degree of obfuscation, the presence of the $_POST and $_COOKIE superglobals and the eval request at the end of the file reveal its true purpose: to accept and execute remotely supplied code.” continues the analysis. “It looks like the remote code supplied to this file is further obfuscated and there may be some sort of access control implemented, judging by the GUID-formatted string present.”
Como mitigar o problema de segurança
Os especialista sugerem algumas recomendações de forma a mitigar este problema relacionado com o ionCube malware. É sugerido aos administradores de sistemas validar a presença de ficheiros codificados pelo ionCube-encoded como indicador de comprometimento.
Deve, pontanto, ser feito um varrimento aos ficheiros do website (p.ex., através de uma validação transversal usando a ferramenta grep do Linux), e é recomendado também uma Web Application Firewall (WAF) como entry-point para filtar tráfego e pedidos potencialmente maliciosos.
Pode também consultar o seguinte URL para mais detalhes.
One Reply to “Websites WordPress, Joomla e CodeIgniter infectados pelo malware ionCube”