Неизвестные сканируют интернет в поисках использующих Adminer сайтов

Специалисты компании Sucuri обнаружили масштабную кампанию по сканированию интернета в поисках сайтов, использующих скрипт для управления базами данных Adminer. Инструмент работает аналогично phpMyAdmin, но меньше по размеру и с меньшим количеством функций, благодаря чему приобрел большую популярность у web-разработчиков. Adminer используется в течение уже десяти лет как для серверов, так и в различных плагинах для WordPress, Drupal, Joomla, Magento и пр.

В случае получения контроля над учетной записью Adminer злоумышленник может выполнить SQL-запросы на сервере. При наличии некоторых навыков хакер способен с помощью комбинации SQL-запросов получить контроль над сервером, а значит, косвенным образом и над запущенными на нем сайтами.

Эксперты выявили кампанию во время исследования одного из взломанных сайтов, оказавшегося частью инфраструктуры для сканирования. Исследователь Sucuri Денис Синегубко обнаружил в легитимном файле at.php скрытую систему для сканирования, получающую от удаленного сервера список из 10 тыс. доменов, расположенных в алфавитном порядке. Сканер обращается по указанным адресам в поисках файлов, указывающих на наличие Adminer. Обнаружив Adminer, сканер сохраняет адрес сайта в файле с именем «c». Когда все 10 тыс. доменов будут просканированы, сканер обращается к своему серверу за новым списком.

Атакующие могут как эксплуатировать известные уязвимости в Adminer для получения доступа к интерфейсу управления базами данных, так и осуществлять брутфорс-атаку с целью завладеть доступом к панели управления Adminer.