SoakSoak računalniški virus je bil razvit v Rusiji leta 2014 in je 14. decembra (2014) v samo enem dnevu okužil več kot 100 000 WordPress strani. To je moderno računalniško okolje za ustvarjanje spletišč in je prosto dostopna programska oprema. Virus je okužil vse spletne strani, ki so bile registrirane na istem serverju. Ni bil direktno namenjen WordPress-u vendar je bilo le-tega najlaže okužiti zaradi njihove platforme. Okužil je spletno stran preko priključka RevSlider. Soaksoak.ru domena je bila registrirana 28. oktobra 2014 ki ga je gostil namenski strežnik 94.23.58.217, ki pripada OvH network. Virus SoakSoak je trenutno na Googlovi črni listi, kar pomeni, da zablokira spletno stran (teh strani je okoli 1000), ki je okužena s tem virusom, oziroma predhodno opozori, da lahko škodi računalniku. Google je zaznal SoakSoak okužbo na več kot 17.000 spletnih straneh.

Anatomija virusa SoakSoak[uredi | uredi kodo]

Virus Soaksoak spreminja datoteko wp-includes/template-loader.php. To povzroči, da se datoteka wp-includes/js/swfobject naloži na vsako stran, ki si jo uporabnik ogleda na spletnem mestu , ki vključuje zlonamerno programsko opremo. Če se to opremo dekodira, se naloži javascript zlonamerne programske opreme iz SoakSoka.ru domene, ki vsebuje datoteko hxxp://soaksoak.ru/xteas/code. Ta datoteka nato okuži vse druge spletne strani, ki se nahajajo na istem strežniku. S temi datotekami ciljajo na Firefox in zadnjo verzijo Internet Explorerja 11. Spletno stran, ki se okuži nato hekerji uporabljajo kot vir za okužbo drugih spletnih strani. Ko je uporabnik okužen, ga lahko spletna mesta nepričakovano preusmerijo na SoakSoak.ru spletne strani in/ali lahko prenesejo zlonamerne datoteke na uporabnikov računalnikih brez njegove vednosti. Te datoteke lahko ogrozijo uporabnikov računalnik tako da na primer, poškodujejo programsko opremo.

Preverjanje okužbe[uredi | uredi kodo]

Če je uporabnikova spletna stran okužena, se na Google Chromu vidi opozorilo, medtem ko uporabnik želi dostopati do svoje spletne strani ali pa uporabnik dobi obvestilo prek Google Webmasterja v orodnem računu. Google potrebuje nekaj dni, da identificira virus na uporabnikovi strani, lahko pa uporabnik tudi sam ročno preveri, če je njegova spletna stran ranljiva, oziroma izpostavljena virusu. To naredi tako, da odpre sledeči URL njegove spletne strani v iskalniku: www.yourblog.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php^[1]. Če je spletna stran ranljiva, se v nastavitvah to pokaže s podrobnim izpiskom o podatkih, kot so uporabniško ime, geslo in ostalo. Če stran ni ranljiva, se ne pokaže nič.

Odstranitev virusa[uredi | uredi kodo]

Eden od načinov za odstranitev tega virusa je zamenjava okuženih WordPress datotek z novimi originalnimi WordPress datotekami. Priporočljivo je preverjati javascript datoteke in vse ostale WordPress datoteke, v primeru da so tudi te okužene. Ta način čiščenja ni najbolj priporočljiv, ker je velika verjetnost da se bo virus zopet pojavil. Obstaja ogromno datotek, ki se nahajajo v jedru WordPress-a, zato je najbolje, da se posodobi vse datoteke. To se lahko naredi tako, da se v WordPress uporabnik prijavi s svojim računom, poišče v meniju (na levi strani) posodobitve in tukaj poišče gumb »ponovno namesti zdaj«. Prav tako se lahko namesti, kateri koli WordPress varnostni priključek, ki bo skeniral blog in poiskal okužene kode (scripte). Wordfence Security je prosto dostopen varnostni priključek, ki nudi dobro zaščito pred virusi in drugimi grožnjami. Uporabnikovo spletno stran Wordfence Security preveri za že znane okužbe, prav tako pa pregleda tudi datoteke v jedru, ter jih primerja z originalnimi datotekami WordPressa. Najboljši način za odstranitev virusa pa je, da se ga ustavi z uporabo požarnega zidu za spletne strani.

Glej tudi[uredi | uredi kodo]

Sklici in opombe[uredi | uredi kodo]

↑ »Yourblog«. Yourblog. 13. december 2015.

Viri[uredi | uredi kodo]

Zunanje povezave[uredi | uredi kodo]

[1] »Yourblog«. Yourblog. 13. december 2015.

[1]