SoakSoak malware infekterar WordPress sajter

WordPress uppdatering

chrome-skadligkod-295x198De senaste dagarna har över 100 000 WordPress sajter infekterats med malware som har fått namnet SoakSoak. SoakSoak namnet kommer från domännamnet på den första sajten som blev infekterad och den hette just soaksoak.

SoakSoak tar sig in i WordPress genom ett tidigare känt säkerhetshål i pluginet Slider Revolution. Säkerhetshålet som utnyttjas har varit känt sedan flera månader tillbaka av utvecklarna men de gick aldrig ut med någon information om det. Istället fixades det i tystnad och det var först i september som Sucuri gjorde det allmänt känt. Det är också Sucuri som nu rapporterar om att säkerhetshålet används på bred front för att infektera WordPress sajter med malware.

Även om problemet har fixats i den senaste versionen av pluginet så är det många som fortfarande inte har uppdaterat, mycket eftersom utvecklarna aldrig gick ut information om säkerhetshålet så många visste helt enkelt inte att det fanns ett problem. Dessutom bundlas pluginet ofta med teman vilket betyder att det finns många som har fått pluginet installerat utan att veta om det när dom installerade ett tema.

Hur attacken fungerar

Innan attacken kan utföras måste en WordPress sajt som använder pluginet hittas. Det görs genom automatiska scanningar av massvis med sajter på internet. Det de letar efter är den här filen:

/wp-content/plugins/revslider/rs-plugin/font/revicons.eot

Om den hittas vet hackarna att pluginet finns installerat. I nästa steg kan wp-config.php filen laddas ner tack vare ett av säkerhetshålen i Slider Revolution. Sedan utnyttjar de ett annat säkerhetshål, också i Slider Revolution, för att ladda upp ett infekterat tema till sajten.

Om allt det lyckas kan de nu utföra det sista steget vilket är att installera ett antal bakdörrar på sajten som gör att de får full tillgång till WordPress installationen. När det är gjort omdirigerar dom alla sajtens besökare till soaksoak sajten som sedan försöker infektera sina besökares datorer med malware.

Hur du vet om du är sårbar

Om du vet att du har installerat pluginet Slider Revolution så är du mest troligt sårbar. Dock är det väldigt många som har pluginet installerat utan att veta om det eftersom det som sagt ofta bundlas med teman.

Genom FTP eller Filhanteraren som du hittar i cPanel hos oss kan du leta upp mappen för Slider Revolution som borde ligga på den här sökvägen:

/wp-content/plugins/revslider

Om du hittar den mappen i din WordPress installation har du Slider Revolution installerat.

Sucuri som var dom som rapporterade om SoakSoak har också en onlinetjänst där du kan se om din sajt har blivit hackad, du hittar den här.

Om du har pluginet men ännu inte har blivit hackad behöver du se till så att du kör den senaste versionen, om du inte gör det måste du uppdatera direkt. Pluginget ska ha en inbyggd uppdateringsfunktion men det kommer inte uppdatera sig självt om du t.ex. har fått det genom att det var bundlat med ett tema. Du måste alltså själv gå in och säga åt pluginet att det ska uppdateras.

Vad gör jag om jag har blivit infekterad?

Om du redan har blivit infekterad är ditt första alternativ att städa ut alla filer som har blivit infekterade. Men det är väldigt svårt att veta exakt vilka filer som har blivit infekterade och om du missar att rensa en av filerna kan du bli hackad igen.

Därför rekommenderar vi att du återställer din WordPress sajt till en backup som togs innan du blev infekterad. Om du har egna backuper kan du använda dom eller så kan du återställa från någon av de backuper vi tar. Du kan göra det via Oderland Backup som du kommer åt genom cPanel hos oss, vi har en guide här som förklarar det fungerar. När du har återställt sajten måste du antingen ta bort pluginet eller uppdatera det direkt för att inte riskera att bli hackad igen.

Om du behöver hjälp med återställningen av din sajt kan du kontakta supporten.

 

Glöm också inte att se till så du kör senaste versionen av WordPress. Om du inte gör det är du sårbar för andra attacker även om du inte använder Slider Revolution. Senaste versionen av WordPress är 4.0.1.

Mer läsning om SoakSoak:

Sucuri – RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise

Sucuri – Slider Revolution Plugin Critical Vulnerability Being Exploited

Sucuri – Website Malware and Security Scanner

Gizmodo – Report: Mysterious Russian Malware Is Infecting 100,000+ WordPress Sites

Threatpost – Google Blacklists WordPress Sites Peddling SoakSoak Malware