Penulis Botnet Menghancurkan Situs WordPress Dengan Kode Buggy

Webmaster yang menemukan pesan kesalahan yang menyebalkan di situs mereka mungkin telah mendapatkan jeda besar, berkat adanya kesalahan oleh penulis botnet Gumblar.

Puluhan ribu situs Web, banyak di antaranya situs kecil yang berjalan perangkat lunak blog WordPress, telah rusak, mengembalikan pesan "kesalahan fatal" dalam beberapa minggu terakhir. Menurut pakar keamanan, pesan-pesan itu sebenarnya dihasilkan oleh beberapa kode berbahaya buggy yang diselundupkan oleh penulis Gumblar.

Gumblar menjadi berita utama di bulan Mei ketika muncul di ribuan situs web resmi, memposting apa yang dikenal sebagai kode "drive-by download" yang menyerang pengunjung yang terinfeksi dengan berbagai serangan daring. Botnet itu tenang selama bulan Juli dan Agustus, tetapi baru-baru ini telah mulai menginfeksi komputer lagi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Rupanya, beberapa perubahan terbaru yang dibuat untuk kode Web Gumblar disebabkan masalahnya, menurut peneliti keamanan independen Denis Sinegubko.

Sinegubko belajar tentang masalah ini sekitar lima hari yang lalu ketika dia didekati oleh salah satu pengguna dari situs web Unmask Parasites-nya. Setelah menyelidiki, Sinegubko menemukan bahwa Gumblar harus disalahkan. Penulis Gumblar tampaknya membuat beberapa perubahan pada kode Web mereka tanpa melakukan pengujian yang tepat, dan sebagai hasilnya "versi Gumbar saat ini secara efektif merusak blog WordPress," tulisnya dalam posting blog yang menjelaskan masalah tersebut.

Bug tidak hanya mempengaruhi pengguna WordPress, kata Sinegubko. "Setiap situs PHP dengan arsitektur file yang kompleks dapat terpengaruh," katanya melalui pesan instan.

Situs WordPress yang mengalami gangguan karena kode buggy menampilkan pesan kesalahan berikut: Kesalahan fatal: Tidak dapat mengulang xfm () (sebelumnya dinyatakan di /path/to/site/index.php(1): eval () 'd kode: 1)

di /path/to/site/wp-config.php(1): eval () kode d pada baris 1

Situs lain yang menjalankan perangkat lunak seperti Joomla mendapatkan pesan kesalahan-fatal yang berbeda, kata Sinegubko. "Ini kesalahan standar PHP," katanya. "Tapi cara Gumblar menyuntikkan skrip berbahaya membuatnya selalu menampilkan string seperti: eval () 'd kode pada baris 1"

Bug mungkin tampak seperti gangguan bagi webmaster, tetapi sebenarnya ini adalah anugerah. Akibatnya, pesan itu memperingatkan korban Gumblar bahwa mereka telah dikompromikan.

Vendor keamanan FireEye mengatakan bahwa jumlah situs yang diretas bisa mencapai ratusan ribu. "Karena fakta bahwa mereka buggy, Anda sekarang dapat melakukan pencarian Google ini dan Anda dapat menemukan ratusan ribu situs berbasis php yang mereka telah dikompromikan," kata Phillip Lin, direktur pemasaran dengan FireEye. "Ada kesalahan yang dibuat oleh penjahat dunia maya."

Tidak semua situs terinfeksi Gumblar akan menampilkan pesan ini, namun, Lin mencatat.

Gumblar menginstal kode buggy di situs Web dengan terlebih dahulu berjalan di desktop dan mencuri FTP (File Transfer Protocol) memasukkan informasi dari korbannya dan kemudian menggunakan kredensial itu untuk menempatkan malware di situs. Webmaster yang menduga bahwa situs mereka telah terinfeksi dapat mengikuti petunjuk deteksi dan penghapusan yang dipasang di blog Sinegubko. Cukup mengubah kredensial FTP tidak akan memperbaiki masalah, karena penulis Gumblar biasanya memasang metode back-door untuk mengakses situs.