Złośliwe wtyczki WordPress zainstalowany furtki na tysiącach stron internetowych

 

Wtyczka widget wygłaszane spamu do niczego nie podejrzewających ofiar

Hakerzy wykorzystali wtyczki WordPress zainstalować na maksymalnie backdoory 200,000 strony internetowe, allowng spam do przesłania na niczego nie podejrzewających stron internetowych.

Zgodnie z badania przeprowadzone przez firmę IT security WordFence, wtyczki, znany jako wyświetlania widgetów, powinny być natychmiast usunięte przez właścicieli stron internetowych. Firma mówi, że ostatnie trzy wersje wtyczki zawierały kod, który umożliwia autorowi publikować żadnych treści na zagrożonym terenie.

„Autorzy tej wtyczki zostały przy użyciu backdoora do publikowania treści spamu do stron prowadzeniu wtyczki. W ciągu ostatnich trzech miesięcy plugin został usunięty i powracających do repozytorium wtyczek WordPress.org w sumie cztery razy,”powiedział Mark Maunder, CEO WordFence.

Maunder powiedział, że plugin został pierwotnie opracowany przez pierwotnego autora jako wtyczki open source, ale został następnie sprzedany na innym 21 Czerwca. Uaktualniona wersja, 2.6.0 został wydany przez nowego właściciela natychmiast. WordFence został poinformowany przez Prawo David, w Wielkiej Brytanii SEO konsultant, że widżet miał rozpocząć instalację dodatkowego kodu, a następnie rozpoczął pobieranie danych z prawniczej na serwerze.

Na 23 Czerwca, WordFence usunięte Widget Wyświetlacz, a tydzień później, nowy właściciel wydana wersja 2.6.1 wtyczki. Niniejsza informacja zawarta w pliku o nazwie geolocation.php który, nikt realizowany w czasie, zawierał złośliwy kod. Kod ten pozwolił autor wtyczki do publikowania nowych treści na każdej stronie, uruchamiając wtyczki, do adresu URL z ich wyboru.

"Ponadto, złośliwy kod uniemożliwia jakąkolwiek zalogowany użytkownik widząc zawartość. Innymi słowy, Właściciele witryn nie byłoby zobaczyć złośliwą zawartość. David Law ponownie skontaktował się z zespołem wtyczki i niech wiedzą, że wtyczka jest zalogowaniu wizyt na każdej stronie na zewnętrznym serwerze, który ma wpływ na prywatność „, powiedział Maunder.

Na 1 Lipiec, Wtyczka została wciągnięta z repozytorium WordPress, ale potem następuje wersji 2.6.2 na 6 Lipiec. Ponownie, obejmowały złośliwy kod mowa powyżej, które jeszcze nie przeszły niezauważone przez nikogo.

To było na 23 Lipca, kiedy użytkownik, o imieniu Calvin Ngan otworzył raportowanie biletów Trac wyświetlających Widgety było wstrzykiwanie spamerskie treści na swojej stronie internetowej. On zawierał link do wyników Google, który indeksowanych spam i powiedział, że złośliwy kod jest w geolocation.php.

We wrześniu, Wersja 2.6.3 wtyczki została wydana i zawiera ten sam szkodliwy kod. W zeszłym tygodniu, użytkownik forum na WordPress.org zgłaszane że spam został wstrzyknięty do ich strony internetowej na Widgets Wyświetl plugin forum pomocy.

„Autorzy wtyczki aktywnie zachowaniu ich szkodliwego kodu, przełączanie pomiędzy źródłami spam i stara się zaciemniać (ukryć) domeny są ściągam spamu „, powiedział Maunder.

Widżet usunięto permanentely na 8 Września, ale Maunder wytropił Wtyczka nowego nabywcy usługi o nazwie WP Devs, który kupuje starych i opuszczonych wtyczek.

Jego badania wykazały, że firma wydaje się być prowadzone przez jedną osobę w Stanach Zjednoczonych i ewentualnie inny w Europie Wschodniej, sądząc błędów językowych dokonanych przez twórców.

Maunder powiedział, że ludzie w społeczności WordPress nie powinien „zacząć jakiekolwiek polowania na czarownice”.

„Czasami wtyczek zmienić właściciela i bardzo rzadko, że nie idzie dobrze. Który wydaje się być to, co się stało w tym przypadku,”powiedział.

Źródła

2 Komentarze

Odpowiedz