Zlonamjerni WordPress plugin instalira backdoor na tisuće web-mjesta

 

Widget čep spewed poruka za neslućene žrtve

Haker imati koristi WordPress čep za informatičku na do 200,000 web stranice, allowng poruka za prenošenje na bezazlen web-mjesta.

prema istraživanja od strane IT sigurnost tvrtka WordFence, čep, poznat kao zaslon Widgets, treba ukloniti odmah po vlasnike web stranica. Tvrtka je rekao da Posljednja tri izdanja čep sadržavati kod koji omogućuje autoru objaviti bilo koji sadržaj na zahvaćenom mjestu.

"Autori ovog dodatka su koristeći backdoor objavljivanje poruka sadržaja na web stranice prikazuju njihov čep. Tijekom prošlosti tri mjeseca čep je uklonjena i primiti na repozitorij WordPress.org plugin ukupno četiri puta, "rekao je Mark Maunder, Predsjednik uprave WordFence.

Bulazniti rekao da čep je izvorno razvijen od strane izvornog autora kao otvorenog plugin ali je zatim prodao drugima na 21 Lipnja. Ažurirana verzija, 2.6.0 objavljen je novi vlasnik odmah. WordFence je obavijestio zakonom David, u UK temeljen SEO Konzultant, da widget je početak instalacije dodatni kod, a zatim počeo preuzimanje podataka iz zakona na poslužitelju.

Na 23 Lipnja, WordFence uklonjen prikaz Widget, i tjedan dana kasnije, Novi vlasnik otpušten inačici 2.6.1 čep. Ovo izdanje sadrži datoteku s nazivom geolocation.php koja, Nitko nije shvatio na vrijeme, sadrži zlonamjerni kod. Ovoga zakona dopušteno čep autor postavljati novi sadržaj na bilo kojoj web stranici trčanje određeni član Plow, URL po svom izboru.

"Nadalje, zlonamjerni kod spriječen sadržaju bilo prijavljenih korisnika. Drugim riječima, vlasnici web-mjesta bi vidjeti zlonamjerni sadržaj. David zakon opet kontaktirao čep tim i neka znaju da čep je zapisivanje posjeta za svaku web stranicu s vanjskim poslužiteljem, koja ima implikacije privatnost,"rekao je bulazniti.

Na 1 Srpanj, čep je izvukao iz repozitorija WordPress, ali zatim slijedi verzija 2.6.2 na 6 Srpanj. Opet, uključeni zlonamjernog koda upućuje iznad koje je dalje otišao nezapažen od strane bilo koga.

Bio je na 23 Siječanj kada korisnik, po imenu Calvin Ngan otvoren Trac karta izvještavanje taj prikaz clanak je ubrizgavanje spammy sadržaja na svoje web stranice. Je uključen link na rezultate Google indeksira spam i zlonamjernog koda je u geolocation.php.

U rujnu, verzija 2.6.3 u dodatku je objavljena i uključivala je isti zlonamjerni kod. prošli tjedan, forum korisnika na WordPress.org izvijestio je Ta poruka je sredstvo u svoje web stranice na zaslon Widgets čep podrška forum.

"Autori plugina su aktivno održavanje svog zlonamjernog koda, prebacivanje između izvora za spam i rad to pomutiti (skrivanje) domene su se pribavljanje spam od,"rekao je bulazniti.

Widget je uklonjena permanentely na 8 Rujna, Ali bulazniti pronašao čep na novog kupca da se usluga zove WP Devs, koja kupuje stare i napuštene čep.

Njegova istraživanja pronašao da tvrtka čini se da voditi jedna osoba u SAD-u i možda jedan u istočnoj Europi, Sudeći po jezične pogreške od strane plakat.

Bulazniti kaže da su u WordPress zajednice ne bi trebali "početi bilo koji lov na vještice".

"Povremeno plugins Promjena vlasništva i vrlo rijetko, To ne ide dobro. To se čini ono što se dogodilo u ovom slučaju,"rekao je.

Izvor

2 Komentari

Dopust jedan Odgovor