Ilkeä WordPress plugin asennettu takaoven tuhansia sivustoja

 

Widget plugin spewed roskapostia hyväuskoinen uhreja

Hakkerit käyttänyt WordPress plugin asentaa takaportteja asti 200,000 sivustot, allowng roskapostista tulee ladata hyväuskoinen sivustot.

Mukaan tutkimus suorittamat IT vartiointiliikkeeseen WordFence, plugin, tunnetaan Näyttö Widgetit, olisi poistettava välittömästi sivustojen omistajille. Yritys sanoi, että kolme viimeistä päästöt plugin sisältäneet koodin, jonka avulla kirjoittaja julkaista mitään sisältöä olevan sivuston.

”Laatijat tämän laajennuksen ovat käyttäneet takaoven julkaista roskapostin sisältöä sivustojen suorittavalla plugin. Kuluneen kolmen kuukauden laajennus on poistettu ja päästetään jälleen WordPress.org plugin arkistoon yhteensä neljä kertaa ”, sanoi Mark Maunder, Toimitusjohtaja WordFence.

Maunderin sanoi, että laajennus on alun perin kehitetty sen alkuperäisen tekijän kuin avoimen lähdekoodin plugin, mutta myi tämän jälkeen muut 21 Kesäkuuta. Päivitetyn version, 2.6.0 julkaisi uuden omistajan heti. WordFence ilmoitettiin David lailla, brittiläinen SEO konsultti, että vekotin oli asennuksen aloittamiseksi lisäkoodia ja sitten alkoi tiedonsiirtoa Law palvelimelle.

Jäsenen 23 Kesäkuuta, WordFence poistettu Näyttö Widget, ja viikkoa myöhemmin, uusi omistaja julkaistu versio 2.6.1 plugin. Tämä julkaisu sisälsi tiedoston nimeltä geolocation.php joka, kukaan ei aavistanut silloin, sisälsi haittaohjelmia. Tämä koodi sallittu plugin kirjailija lähettää sisältöä tahansa sivustolla käynnissä plugin, URL-osoitteeseen heidän valitessaan.

"Lisäksi, haitallista koodia esti kirjautuneen käyttäjän näkemästä sisällöstä. Toisin sanoen, sivuston omistajat eivät näe haitallista sisältöä. David Law uudelleen yhteyttä laajennus joukkue ja kertoa heille, että plugin kirjautuu käynnit kunkin sivuston ulkoiseen palvelimeen, joka on yksityisyyttä seurauksia ”, sanoi Maunder.

Jäsenen 1 Heinäkuuta, lisäosa vedettiin WordPress arkistosta, mutta sitten seuraa versio 2.6.2 jäsenen 6 Heinäkuuta. Uudelleen, sisälsivät haitallisen koodin Mainitun joka oli vielä jäänyt huomaamatta kukaan.

Se oli 23 Heinäkuussa, kun käyttäjä, jonka nimi Calvin Ngan avasi Trac lippu raportointi että näyttö Widgetit oli suonensisäinen roskapostisisältöön hänen verkkosivuilla. Hän mukana linkin Googlen tulokset, jotka olivat indeksoitu roskapostin ja sanoi haitallista koodia on geolocation.php.

Syyskuussa, versio 2.6.3 plugin vapautettiin ja se sisälsi samat haitallisen koodin. Viime viikolla, foorumin käyttäjä WordPress.org raportoitu että roskaposti on ruiskutettu niiden verkkosivuilla Display Widgetit plugin tukifoorumi.

”Laatijat plugin aktiivisesti ylläpitämään haittakoodin, Vaihtaminen lähteet roskapostin ja työskentely hämärtää (piilota) verkkotunnusta ne noutaa roskapostia ”, sanoi Maunder.

Widget poistettiin Kestovoidellut on 8 Syyskuuta, mutta Maunderin jäljitti laajennuksen uusi ostaja palvelua nimeltä WP Devs, joka ostaa vanhoja ja hylättyjä laajennukset.

Hänen tutkimukset osoittivat, että yhtiö näyttää hoitaa yksi henkilö Yhdysvalloissa ja mahdollisesti toinen Itä-Euroopassa, päätellen kielelliset tekemät virheet juliste.

Maunderin sanoi, että ihmiset WordPress yhteisö saisi ”aloittaa mitään noitavainoja”.

”Joskus PlugIns vaihtaa omistajaa ja hyvin harvoin, joka ei mene hyvin. Se näyttää olevan mitä tapahtui tässä tapauksessa ”, hän sanoi.

Lähde

2 Kommentit

Jätä vastaus