Škodlivý WordPress plugin nainštalovaný backdoor na tisíckach webových stránok

 

Widget plugin chrlil spam nič netušiace obete

Hackeri využili WordPress plugin inštalovať zadné vrátka až na 200,000 webové stránky, allowng spam byť vkladané na nič netušiaci webových stránok.

podľa výskum vykonávané IT bezpečnostné firma WordFence, plugin, známy ako reklamný Widgets, by mala byť okamžite odstránené majiteľom webových stránok. Firma uviedla, že posledné tri úniky plugin obsahoval kód, ktorý umožňuje autor publikovať akýkoľvek obsah na postihnuté miesto.

"Autori tohto zásuvného modulu boli pomocou backdoor na publikovanie obsahu spamu na stránky bežia svoj plugin. Počas posledných troch mesiacov plugin bola vybratá a odovzdaná do zásuvného úložiska WordPress.org celkom štyrikrát, "povedal Mark Maunder, CEO of WordFence.

Maunder povedal, že plugin bol pôvodne vyvinutý pôvodného autora ako open-source plugin, ale potom bol predaný iné na 21 Júna. aktualizovaná verzia, 2.6.0 bol prepustený pod vedením nového vlastníka okamžite. WordFence informoval David zákona, sídlom v Spojenom kráľovstve SEO konzultant, že výtvor mal začať inštalovať dodatočný kód a potom začal sťahovať dáta z Law je na serveri.

Na 23 Júna, WordFence odstránené Display Widget, ao týždeň neskôr, nový majiteľ vydaná verzia 2.6.1 plugin. Táto správa obsahovala súbor nazvaný geolocation.php ktoré, nikto si uvedomil, v tej dobe, obsahoval škodlivý kód. Tento kód povolené autor plugin, aby ste mohli písať nový obsah na ľubovoľnej webovej stránky bežia plugin, na adresu URL podľa vlastného výberu.

"Ďalej, škodlivý kód zabrániť akejkoľvek prihláseného užívateľa od videnia obsah. Inými slovami, majitelia stránok neuvidia škodlivý obsah. David Law znova kontaktovala plugin tím a dajte im vedieť, že plugin je prihlásenie návštevy každej webovej stránky na externý server, čo má vplyv o ochrane osobných údajov, "povedal Maunder.

Na 1 Júla, Doplnok bol vytiahnutý z úložiska WordPress, ale potom nasledovala verzia 2.6.2 na 6 Júla. Znova, zahŕňali škodlivý kód uvedené vyššie, ktoré sa doteraz bez povšimnutia kýmkoľvek.

Bolo to na 23 Júla, kedy užívateľ, menom Calvin Ngan otvoril hlásenia Trac vstupeniek ktoré sa majú zobraziť Widgets so vstrekovaním spamový obsah do svojej webovej stránky. Ten obsahoval odkaz na výsledky vyhľadávania Google, ktorý indexované spam a uviedol, že škodlivý kód je geolocation.php.

V septembri, verzia 2.6.3 zásuvného modulu bola prepustená a zahŕňal rovnaký škodlivý kód. minulý týždeň, užívateľ fórum o WordPress.org hlásených že spam bol vstrekne do svojej webovej stránky na displeji Widgety pluginov fórum podpory.

"Autori plugin aktívne zachovanie ich škodlivého kódu, prepínanie medzi zdrojmi pre spam a snaží sa popliesť (skryť) domény sú načítanie spam od "povedal Maunder.

Pomôcka sa odstráni permanentely na 8 Septembra, ale Maunder vystopoval nové kupca zásuvný modul je na službu s názvom WP Devs, ktorý kupuje staré a opustené pluginy.

Jeho vyšetrovanie zistili, že sa zdá, že spoločnosť bude prevádzkovať jednou osobou v Spojených štátoch a prípadne ďalšie vo východnej Európe, súdiac podľa jazykových chýb urobených plagát.

Maunder povedal, že ľudia v komunite WordPress by nemala "spustiť žiadne hon na čarodejnice".

"Občas pluginy zmeniť vlastníctvo a veľmi zriedkavo, že nie je dobre. Ktorý sa zdá byť to, čo sa stalo v tomto prípade, "povedal.

Zdroj

2 Komentáre

Zanechať Odpoveď