В минувшие выходные был зафиксирован массовый взлом сотен блогов WordPress, размещенных на серверах нескольких хостинговых компаний. Впервые замаскированный в footer.php вредоносный JavaScript был обнаружен на блогах, размещенных у провайдера Dreamhost.

По данным фирмы Sucuri Security Labs, в дальнейшем эта же уязвимость распространилась на блоги, обслуживаемые такими хостинговыми компаниями, как GoDaddy, Bluehost, Media Temple и рядом других.

По словам эксперта этой фирмы Давида Деде, встроенный в footer.php код загружает дополнительные скрипты с сайтов zettapetta.com и indesignstudioinfo.com. На момент написания новости скрипты на этих сайтах все еще работали, перенаправляя пользователей на веб-страницы с результатами фальшивого онлайн-сканирования на вирусы. Распространяемый через эти страницы поддельный антивирус FAKEAV по состоянию на сегодняшний день обнаруживается 24 антивирусами из сорока одного пакета, имеющегося в коллекции VirusTotal.

Согласно информации WPSecurityLock, данной уязвимости подвержена также платформа Zencart и другие системы управления, основанные на PHP. Исследователи этой компании опубликовали подробные инструкции по удалению заразы, а специалисты Sucuri Security Labs предоставили специальный скрипт, позволяющий убрать ее с инфицированных страниц.