Вредоносный плагин для WordPress, бэкдор установлен на тысячи веб-сайтов

 

Виджет плагин изрыгают спам ничего не подозревающих жертв

Хакеры использовали WordPress плагин для установки бэкдоров на до 200,000 веб-сайты, чтобы быть загружены на ничего не подозревающих веб-сайты allowng спам.

Согласно исследования осуществляется ИТ-безопасности фирмы WordFence, плагин, известный как виджеты отображения, должны быть немедленно удалены владельцами сайта. Компания сообщила, что последние три выпуска плагина содержал код, который позволяет автору публиковать контент на пораженном участке.

«Авторы этого плагина использовали бэкдор для публикации контента спама на сайты их работы плагина. В течение последних трех месяцев плагин был удален и реадмиссии в хранилище плагинов WordPress.org в общей сложности четыре раза,»сказал Марк Маундер, Генеральный директор WordFence.

Маундер сказал, что плагин был первоначально разработан своим оригинальным автором как с открытым исходным кодом плагина, но затем был продан другим на 21 Июнь. Обновленная версия, 2.6.0 был выпущен его новый владелец немедленно. WordFence сообщил Дэвид Ло, консультант SEO британская, что виджет был начать установку дополнительного кода, а затем начал загружать данные из закона о сервере.

На 23 Июнь, WordFence удален Показать Виджет, и через неделю, новый владелец выпустила версию 2.6.1 плагина. Этот релиз содержит файл под названием geolocation.php, который, никто понял, в то время, содержали вредоносный код. Этот код позволил плагин автору для добавления нового контента на любой сайт работает плагин, к URL по их выбору.

"Более того, вредоносный код предотвращен любой вошедший пользователь видеть содержимое. Другими словами, Владельцы сайта не увидят вредоносный контент. Дэвид Ло снова связался с командой плагин и пусть они знают, что плагин регистрирует посещение каждого сайта на внешнем сервере, которая имеет значение конфиденциальности,»сказал Маундер.

На 1 Июль, плагин был разобран из репозитория WordPress, но затем последовали версии 2.6.2 на 6 Июль. Снова, включали вредоносный код ссылки выше, которые до сих пор остались незамеченными никем.

Это было 23 Июль, когда пользователь, по имени Калвин Нган открыл отчетность билета Trac что Виджеты отображения были инъекционными внедренный контент в свой веб-сайт. Он включал в себя ссылку на результаты Google, которые индексируются спам и сказал, что вредоносный код в geolocation.php.

В сентябре, Версия 2.6.3 плагина был выпущен и включал в один и тот же вредоносный код. На прошлой неделе, пользователь форума на WordPress.org сообщили что спам был введен в их веб-сайт на Display Widgets плагине форум поддержки.

«Авторы плагина активно поддерживать вредоносный код, переключение между источниками для спама и работают запутывать (скрыть) домен они забирающий спам,»сказал Маундер.

Виджет был удален на permanentely 8 Сентябрь, но Маундер разыскал новый покупатель плагина к услуге под названием WP Devs, который покупает старые и заброшенные плагины.

Его исследования обнаружили, что компания, как представляется, в ведении одного человека в США и, возможно, другой в Восточной Европе, судя по лингвистическим ошибок, допускаемых плакат.

Маундер сказал, что люди в сообществе WordPress не должны «начать любые охоты на ведьм».

«Иногда плагинов смены владельца и очень редко, что не идет хорошо. Это, кажется, что произошло в этом случае,»сказал он.

Источник

2 Комментарии

оставьте ответ