Ļaunprātīgs WordPress spraudnis instalēts lūku tūkstošiem tīmekļa vietnes

 

Logrīku spraudnis izspļauta mēstuļu nenojauš upuriem

Hakeri ir izmantoti WordPress spraudnis uzstādīt lūkas uz augšu, lai 200,000 mājas lapas, allowng mēstuļu augšupielādēti uz nenojauš mājas lapas.

saskaņā ar pētniecība ko veic IT drošības firmas WordFence, spraudnis, pazīstams kā displeja Widgets, jānoņem uzreiz vietņu īpašnieku. Firma teica, ka pēdējo trīs relīzes spraudņa ir ietverti kodu, kas ļauj autoram publicēt jebkādu saturu uz skartās vietas.

"Par šo spraudni autori ir bijis, izmantojot backdoor publicēt surogātpasta saturu vietnes rādīt savu spraudni. Pēdējo trīs mēnešu laikā spraudnis tika noņemts, un jāuzņem atpakaļ uz WordPress.org spraudnis krātuve kopumā četras reizes gadā, "sacīja Marks vilkties, Izpilddirektors WordFence.

Vilkties teica, ka spraudnis sākotnēji tika izstrādāta tās sākotnējais autors kā atvērtā koda spraudnis, bet tad tika pārdota citiem par 21 Jūnijs. Atjaunināta versija, 2.6.0 tika izlaists ar savu jauno īpašnieku, nekavējoties. WordFence informēja David likums, Lielbritānijas balstīta SEO konsultants, ka widget bija sāktu instalēšanu papildu kodu, un tad sākās lejupielādes datus no likuma ir uz servera.

Par 23 Jūnijs, WordFence noņemta Display logrīku, un nedēļu vēlāk, jaunais īpašnieks atbrīvo versija 2.6.1 spraudņa. Šajā laidienā iekļauta faila nosaukumu geolocation.php kas, neviens saprata brīdī, ietverti ļaunprātīgu kodu. Šis kods ļāva spraudnis autors publicēt jaunu saturu uz jebkuru mājas lapā darbojas spraudni, uz URL savas izvēles.

"Turklāt, ļaunprātīgu kodu novērsa pieteicies-in lietotājam redzēt saturu. Citiem vārdiem sakot, vietnes īpašnieki nevarētu redzēt ļaunprātīgo saturu. David likums atkal sazinājās spraudņu komandu un ļaut viņiem zināt, ka spraudnis piesakoties apmeklējumi katras mājas ārējam serverim, kura ietekmē konfidencialitāti, "teica vilkties.

Par 1 Jūlija, spraudnis ir izvilkts no WordPress krātuve, bet tad sekoja versiju 2.6.2 par 6 Jūlija. Vēlreiz, ietvēra ļaunprātīgu kodu atsauce virs kura vēl bija palicis nepamanīts nevienam.

Tas bija 23 Jūlijs, kad lietotājs, ar nosaukumu Calvin Ngan atvēra Trac biļešu ziņošanu ka Displeja logrīki bija intravenozo nevēlamu saturu uz viņa mājas lapā. Viņš iekļauta saite uz Google rezultātiem, kas bija indeksētas surogātpasta un teica ļaunprātīgu kodu ir geolocation.php.

Septembrī, versija 2.6.3 spraudņa tika izlaists, un tas iekļauts pašu ļaunprātīgu kodu. Pagājušajā nedēļā, forums lietotājs WordPress.org ziņoja par ka surogātpasts ir ievietojusi savā mājas lapā, displejā Logrīki spraudnis atbalsta forums.

"Ar spraudņa autori ir aktīvi uzturēt savu ļaunprātīgu kodu, pārslēgties starp avotiem surogātpastu un darba aptumšot (slēpt) domēna tie ienest mēstuļu, "sacīja vilkties.

Widget tika noņemts permanentely uz 8 Septembris, bet vilkties kāpurķēžu nosaka spraudņa jauno pircēju pakalpojumam sauc WP Devs, kas pērk veco un pamestos plugins.

Viņa izmeklēšana konstatēja, ka uzņēmums, šķiet, vada viens cilvēks ASV un, iespējams, vēl Austrumeiropā, spriežot pēc valodas kļūdas, ko ar plakātu.

Vilkties teica, ka cilvēki WordPress sabiedrībā nevajadzētu "sākt nekādas raganu medības".

"Reizēm spraudņi mainīt īpašnieku un ļoti reti, kas nav iet labi. Šķiet, ka to, kas ir noticis šajā gadījumā, "viņš teica.

Avots

2 Komentāri

Atstāj atbildi