ปลั๊กอิน WordPress ที่เป็นอันตรายติดตั้งลับ ๆ บนพันเว็บไซต์

 

ปลั๊กอินเครื่องมือ spewed สแปมไปยังเหยื่อไม่สงสัย

แฮกเกอร์ใช้เวิร์ดเพรสปลั๊กอินการติดตั้งแบ็คดอร์ไวรัสบน 200,000 เว็บไซต์, allowng สแปมจะถูกอัพโหลดลงบนเว็บไซต์ที่ไม่สงสัย.

ตามที่ วิจัย ดำเนินการ โดยบริษัทรักษาความปลอดภัย IT WordFence, ปลั๊กอิน, เรียกว่าวิดเจ็ตจอแสดงผล, ควรจะออกทันที โดยเจ้าของเว็บไซต์. บริษัทกล่าวว่า ว่า รุ่นที่สามของปลั๊กอินที่ประกอบด้วยรหัสที่ช่วยให้ผู้เขียนเผยแพร่เนื้อหาใด ๆ บนเว็บไซต์ได้รับผลกระทบ.

"ผู้เขียนของปลั๊กอินนี้ได้ใช้ประตูหลังเผยแพร่สแปมเนื้อหาไปยังเว็บไซต์ที่เรียกใช้ปลั๊กอินของพวกเขา. ในช่วงผ่านมาสามเดือนมีปลั๊กอินที่ถูกเอาออก และ readmitted เพื่อเก็บข้อมูล WordPress.org ปลั๊กอินทั้งหมดสี่ครั้ง, "กล่าวว่า เครื่องหมาย Maunder, ซีอีโอของ WordFence.

Maunder บอกว่า ปลั๊กอินที่ถูกพัฒนามา โดยผู้เขียนเดิมเป็นปลั๊กอินการเปิดแหล่ง แต่แล้วขายให้ผู้อื่นบน 21 มิถุนายน. รุ่นปรับปรุง, 2.6.0 ถูกนำออกใช้ โดยเจ้าของใหม่ทันที. WordFence ได้รับแจ้งตามกฎหมายดาวิด, ในสหราชอาณาจักรตามที่ปรึกษา SEO, วิดเจ็ตได้เริ่มต้นการติดตั้งรหัสเพิ่มเติม และเริ่มต้นการดาวน์โหลดข้อมูลจากกฎหมายของบนเซิร์ฟเวอร์.

บน 23 มิถุนายน, WordFence เอา Widget ที่แสดงผล, และในสัปดาห์ต่อมา, รุ่นใหม่เจ้าของออกมา 2.6.1 ของปลั๊กอิน. รุ่นนี้ประกอบด้วยแฟ้มชื่อว่า geolocation.php ซึ่ง, ไม่มีใครตระหนักในเวลา, รหัสที่เป็นอันตรายที่มีอยู่. โค้ดนี้อนุญาตให้ผู้เขียนปลั๊กอินเพื่อโพสต์เนื้อหาใหม่ใด ๆ เว็บไซต์ที่เรียกใช้ปลั๊กอิน, ไปยัง URL ของการเลือกของพวกเขา.

"นอกจากนี้, รหัสเป็นอันตรายป้องกันไม่ให้ผู้ใช้ล็อกอินเห็นเนื้อหา. ในคำอื่น ๆ, เจ้าของเว็บไซต์ไม่ต้องดูเนื้อหาที่เป็นอันตราย. ดาวิดกฎหมายติดต่อทีมปลั๊กอินอีกครั้ง และแจ้งให้ทราบว่า ปลั๊กอินการบันทึกการเข้าชมเว็บไซต์ไปยังเซิร์ฟเวอร์ภายนอก, ซึ่งมีผลกระทบต่อความเป็นส่วนตัว กล่าวว่า Maunder.

บน 1 กรกฎาคม, ปลั๊กอินถูกดึงมาจากเก็บข้อมูลของเวิร์ดเพรส, แต่แล้ว ตาม ด้วยรุ่น 2.6.2 บน 6 กรกฎาคม. อีกครั้ง, รวมรหัสเป็นอันตรายที่อ้างถึงข้างต้นซึ่งยังคงได้ไปสังเกตทุกคน.

ใน 23 กรกฎาคมเมื่อผู้ใช้, โดยชื่อของคาลวิน Ngan เปิดการรายงานตั๋ว Trac วิดเจ็ตจอแสดงผลถูกฉีดเป็นสแปมเนื้อหาลงในเว็บไซต์ของเขา. เขารวมลิงก์ผลลัพธ์ Google ที่ทำดัชนีสแปม และกล่าวว่า รหัสเป็นอันตรายอยู่ใน geolocation.php.

ในเดือนกันยายน, เวอร์ชัน 2.6.3 ของปลั๊กอินที่ถูกนำออกใช้ และมันรวมรหัสที่เป็นอันตรายเหมือนกัน. สัปดาห์ที่แล้ว, ผู้ใช้ฟอรั่มใน WordPress.org รายงาน ว่า สแปมได้ถูกฉีดเข้าไปในเว็บไซต์บนฟอรั่มการสนับสนุนปลั๊กอินวิดเจ็ตจอแสดงผล.

"ผู้เขียนของปลั๊กอินที่จะแข็งขันรักษารหัสที่เป็นอันตราย, โดเมนที่มีการนำมาใช้สลับทำให้งงงวย (ซ่อน) และแหล่งที่มาสำหรับสแปมสแปมจาก กล่าวว่า Maunder.

วิดเจ็ตคือ เอา permanentely บน 8 กันยายน, แต่ Maunder ติดตามลงปลั๊กอินใหม่ผู้ซื้อบริการที่เรียกว่า WP สั, ซึ่งซื้อปลั๊กอินที่เก่า และถูกทอดทิ้ง.

เขาตรวจสอบพบว่า บริษัทปรากฏเรียกใช้ได้ โดยคนคนหนึ่ง ในสหรัฐอเมริกา และอาจอีกในยุโรปตะวันออก, ตัดสิน โดยข้อผิดพลาดทางภาษาที่ทำ โดยโปสเตอร์.

Maunder กล่าวว่า คนใน WordPress ใน ชุมชนควร "เริ่มต้นการล่าแม่มด".

"บางครั้งปลั๊กอินเปลี่ยนความเป็นเจ้าของ และไม่ค่อยมาก, ที่ไม่ไปดี. ที่ปรากฏเป็นสิ่งที่เกิดขึ้นในกรณีนี้ เขากล่าว.

แหล่งที่มา

One Response

ทิ้งคำตอบไว้