Злонамерени WordPress плъгин инсталиран backdoor на хиляди сайтове

 

Widget плъгин избълва спам нищо неподозиращи жертви

Хакерите са използвали WordPress плъгин за инсталиране на задни врати на до 200,000 уеб сайтове, allowng спам, за да бъде качен върху нищо неподозиращи сайтове.

Според изследване извършена от IT фирма за сигурност WordFence, плъгин, известен като Display Widgets, трябва да бъдат отстранени незабавно от собствениците на сайта. Фирмата заяви, че през последните три версии на плъгина са съдържали код, който позволява на автора да публикува всеки файл на засегнатия сайт.

"Авторите на този плъгин са използвали задната врата да публикува спам съдържание на сайтове, управлението на своя плъгин. През последните три месеца на приставката е била отстранена и повторно приет в плъгин хранилище WordPress.org общо четири пъти ", каза Марк бръщолевя, Главен изпълнителен директор на WordFence.

Влача се каже, че приставката първоначално е бил разработен от оригиналния си автор като плъгин с отворен код, но след това е продадена на други хора в 21 Юни. Актуализирана версия, 2.6.0 е бил освободен от новия собственик веднага. WordFence е бил информиран от Дейвид Лоу, Великобритания основава консултант SEO, че програмката трябваше да започне инсталирането на допълнителен код, а след това започна изтеглянето на данни от право върху сървъра.

На 23 Юни, WordFence отстранен Display Widget, и седмица по-късно, Новият собственик освободен версия 2.6.1 на приставката. Тази версия се съдържа файл с име geolocation.php които, никой не разбра, към момента, съдържаща се зловреден код. Този код позволено автора на плъгина да се публикува ново съдържание всеки сайт работи плъгина, на URL по техен избор.

"Освен това, зловредния код е попречило влезли потребител да вижда съдържанието. С други думи, собствениците на сайта не виждат злонамереното съдържание. Дейвид Лоу отново се свърза екипа на плъгин и нека знаят, че приставката е да влезете посещения на всеки сайт, за да външен сървър, което е от значение за поверителност ", каза бръщолевя.

На 1 Юли, плъгина е изтеглен от хранилището WordPress, но след това последвано от версия 2.6.2 на 6 Юли. Отново, включени зловредния код посочен по-горе, която все още е останало незабелязано от никого.

Той е бил на 23 Юли, когато даден потребител, с името на Калвин Ngan откри отчетния билет Trac които показват Widgets е инжекционно съдържанието със спам в своя уебсайт. Той включва връзка към резултати от Google, които са индексирани спам и каза зловредния код е в geolocation.php.

През септември, версия 2.6.3 на плъгина е бил освободен и го включили едно и също зловредния код. Миналата седмица, потребителски форум на WordPress.org докладвани че спам е инжектиран в сайта им на запособия Display плъгин подкрепа форум.

"Авторите на плъгина са активно поддържане на техния зловреден код, превключване между източниците на спам и работи, за да се обърквам (скрий) Ако домейнът се извлича от спам ", каза бръщолевя.

Приспособлението се отстранява permanentely на 8 Септември, но влача се издирих нов купувач на плъгин за услуга, наречена WP Devs, който купува стари и изоставени плъгини.

Проучванията му установили, че компанията изглежда, че се управлява от един човек в САЩ, а вероятно и още един в Източна Европа, съдейки по езикови грешки, направени от плаката.

Влача се казва, че хората в общността WordPress не трябва "да започнат каквито и да било лов на вещици".

"От време на време да се смени собствеността плъгини и много рядко, че не вървят добре. Това изглежда е какво се е случило в този случай ", каза той.

Източник

2 Коментари

Оставете коментар