Böswillige WordPress Plugin installiert backdoor auf Tausenden von websites

 

Widget Plugin spie Spam, um ahnungslose Opfer

Hacker hat eine Wordpress-Plugin verwendet Backdoors zu installieren, auf bis zu 200,000 Websites, allowng Spam auf ahnungslose Websites hochgeladen werden.

Laut Forschung von IT-Sicherheitsfirma WordFence durchgeführt, Das plugin, als Display-Widgets bekannt, sollten sofort von Website-Besitzer entfernt werden. Die Firma sagte, dass die letzten drei Versionen des Plugins haben Code enthalten, dass der Autor von Inhalten auf einem betroffenen Website veröffentlichen können.

„Die Autoren dieses Plugins wurden mit dem Backdoor-Spam-Inhalte auf Websites veröffentlichen ihre Plugin läuft. Während der letzten drei Monate das Plugin wurde entfernt, und die Plugin-Repository WordPress.org zu insgesamt vier mal“, sagte Mark Maunder, CEO von WordFence.

Maunder sagte, dass das Plugin ursprünglich von seinem ursprünglichen Autor als Open-Source-Plugin entwickelt wurde, wurde dann aber an anderen weiterverkauft 21 Juni. Eine aktualisierte Version, 2.6.0 sofort wurde von seinem neuen Besitzer freigegeben. WordFence wurde von David Law informiert, ein britisches SEO-Berater, dass das Widget zusätzlichen Code Installation hatte beginnen und begann dann Daten von Laws auf Server Download.

Auf 23 Juni, WordFence entfernt Display-Widget, und eine Woche später, der neue Besitzer freigegebene Version 2.6.1 des Plugins. Diese Version enthielt eine Datei namens geolocation.php die, niemand zu der Zeit realisiert, enthaltenen Schadcode. Dieser Code erlaubt das Plugin Autor neue Inhalte auf einer Website zu veröffentlichen das Plugin läuft, zu einer URL ihrer Wahl.

"Darüber hinaus, der Schadcode verhinderte jeden angemeldeten Benutzer aus, den Inhalt zu sehen. Mit anderen Worten,, Website-Betreiber nicht die bösartigen Inhalte sehen. David Law kontaktiert wieder das Plug-Team und sie wissen lassen, dass das Plugin loggt Besuche in jede Website auf einem externen Server, die Auswirkungen auf den Datenschutz hat „, sagte Maunder.

Auf 1 Juli, Das Plugin wurde aus der Wordpress-Repository gezogen, aber dann gefolgt von Version 2.6.2 auf 6 Juli. Wieder, der bösartige Code enthielt, über den von jemandem hatte verwiesen noch unbemerkt geblieben.

Es war auf 23 Juli, wenn ein Benutzer, mit dem Namen Calvin Ngan ein Ticket Trac Berichterstattung eröffnet dass Display-Widgets wurde Injektion Spam-Inhalte in seine Website. Er enthielt einen Link zu Google Ergebnissen, die den Spam indiziert waren, und sagte, der bösartige Code in geolocation.php ist.

Im September, Version 2.6.3 des Plugins veröffentlicht wurde und es waren die gleichen bösartigen Code. Letzte Woche, ein Forum Benutzer auf WordPress.org berichtet dass Spam wurde in ihre Website auf dem Display Widgets Plugin-Support-Forum injiziert.

„Die Autoren des Plug-In pflegen aktiv ihren bösartigen Code, zwischen den Quellen für Spam-Schalten und arbeiten zu verschleiern (aus) der Domain sie Spam von sind Holen „, so Maunder.

Das Widget wurde permanent auf entfernt 8 September, aber Maunder verfolgten den neuen Käufer des Plugins zu einem Dienst nach unten genannt WP Devs, was kauft alten und verlassenen Plugins.

Seine Untersuchungen festgestellt, dass das Unternehmen von einer Person in den USA zu laufen scheint und möglicherweise eine andere in Osteuropa, durch sprachlichen Fehler Beurteilung durch das Plakat gemacht.

Maunder sagte, dass die Menschen in der Wordpress-Community sollten nicht „keine Hexenjagd beginnen“.

„Gelegentlich-Plugins den Besitzer wechseln und nur sehr selten, dass geht nicht gut. Das scheint zu sein, was in diesem Fall passiert ist „, sagte er.

Quelle

Eine Antwort

Hinterlasse eine Antwort