ปลั๊กอิน WordPress ที่เป็นอันตรายติดตั้งลับ ๆ บนพันเว็บไซต์

 

ปลั๊กอินเครื่องมือ spewed สแปมไปยังเหยื่อไม่สงสัย

แฮกเกอร์ใช้เวิร์ดเพรสปลั๊กอินการติดตั้งแบ็คดอร์ไวรัสบน 200,000 เว็บไซต์, allowng สแปมจะถูกอัพโหลดลงบนเว็บไซต์ที่ไม่สงสัย.

ตามที่ วิจัย ดำเนินการ โดยบริษัทรักษาความปลอดภัย IT WordFence, ปลั๊กอิน, เรียกว่าวิดเจ็ตจอแสดงผล, ควรจะออกทันที โดยเจ้าของเว็บไซต์. บริษัทกล่าวว่า ว่า รุ่นที่สามของปลั๊กอินที่ประกอบด้วยรหัสที่ช่วยให้ผู้เขียนเผยแพร่เนื้อหาใด ๆ บนเว็บไซต์ได้รับผลกระทบ.

"ผู้เขียนของปลั๊กอินนี้ได้ใช้ประตูหลังเผยแพร่สแปมเนื้อหาไปยังเว็บไซต์ที่เรียกใช้ปลั๊กอินของพวกเขา. ในช่วงผ่านมาสามเดือนมีปลั๊กอินที่ถูกเอาออก และ readmitted เพื่อเก็บข้อมูล WordPress.org ปลั๊กอินทั้งหมดสี่ครั้ง, "กล่าวว่า เครื่องหมาย Maunder, ซีอีโอของ WordFence.

Maunder บอกว่า ปลั๊กอินที่ถูกพัฒนามา โดยผู้เขียนเดิมเป็นปลั๊กอินการเปิดแหล่ง แต่แล้วขายให้ผู้อื่นบน 21 มิถุนายน. รุ่นปรับปรุง, 2.6.0 ถูกนำออกใช้ โดยเจ้าของใหม่ทันที. WordFence ได้รับแจ้งตามกฎหมายดาวิด, ในสหราชอาณาจักรตามที่ปรึกษา SEO, วิดเจ็ตได้เริ่มต้นการติดตั้งรหัสเพิ่มเติม และเริ่มต้นการดาวน์โหลดข้อมูลจากกฎหมายของบนเซิร์ฟเวอร์.

บน 23 มิถุนายน, WordFence เอา Widget ที่แสดงผล, และในสัปดาห์ต่อมา, รุ่นใหม่เจ้าของออกมา 2.6.1 ของปลั๊กอิน. รุ่นนี้ประกอบด้วยแฟ้มชื่อว่า geolocation.php ซึ่ง, ไม่มีใครตระหนักในเวลา, รหัสที่เป็นอันตรายที่มีอยู่. โค้ดนี้อนุญาตให้ผู้เขียนปลั๊กอินเพื่อโพสต์เนื้อหาใหม่ใด ๆ เว็บไซต์ที่เรียกใช้ปลั๊กอิน, ไปยัง URL ของการเลือกของพวกเขา.

"นอกจากนี้, รหัสเป็นอันตรายป้องกันไม่ให้ผู้ใช้ล็อกอินเห็นเนื้อหา. ในคำอื่น ๆ, เจ้าของเว็บไซต์ไม่ต้องดูเนื้อหาที่เป็นอันตราย. ดาวิดกฎหมายติดต่อทีมปลั๊กอินอีกครั้ง และแจ้งให้ทราบว่า ปลั๊กอินการบันทึกการเข้าชมเว็บไซต์ไปยังเซิร์ฟเวอร์ภายนอก, ซึ่งมีผลกระทบต่อความเป็นส่วนตัว กล่าวว่า Maunder.

บน 1 กรกฎาคม, ปลั๊กอินถูกดึงมาจากเก็บข้อมูลของเวิร์ดเพรส, แต่แล้ว ตาม ด้วยรุ่น 2.6.2 บน 6 กรกฎาคม. อีกครั้ง, รวมรหัสเป็นอันตรายที่อ้างถึงข้างต้นซึ่งยังคงได้ไปสังเกตทุกคน.

ใน 23 กรกฎาคมเมื่อผู้ใช้, โดยชื่อของคาลวิน Ngan เปิดการรายงานตั๋ว Trac วิดเจ็ตจอแสดงผลถูกฉีดเป็นสแปมเนื้อหาลงในเว็บไซต์ของเขา. เขารวมลิงก์ผลลัพธ์ Google ที่ทำดัชนีสแปม และกล่าวว่า รหัสเป็นอันตรายอยู่ใน geolocation.php.

ในเดือนกันยายน, เวอร์ชัน 2.6.3 ของปลั๊กอินที่ถูกนำออกใช้ และมันรวมรหัสที่เป็นอันตรายเหมือนกัน. สัปดาห์ที่แล้ว, ผู้ใช้ฟอรั่มใน WordPress.org รายงาน ว่า สแปมได้ถูกฉีดเข้าไปในเว็บไซต์บนฟอรั่มการสนับสนุนปลั๊กอินวิดเจ็ตจอแสดงผล.

"ผู้เขียนของปลั๊กอินที่จะแข็งขันรักษารหัสที่เป็นอันตราย, โดเมนที่มีการนำมาใช้สลับทำให้งงงวย (ซ่อน) และแหล่งที่มาสำหรับสแปมสแปมจาก กล่าวว่า Maunder.

วิดเจ็ตคือ เอา permanentely บน 8 กันยายน, แต่ Maunder ติดตามลงปลั๊กอินใหม่ผู้ซื้อบริการที่เรียกว่า WP สั, ซึ่งซื้อปลั๊กอินที่เก่า และถูกทอดทิ้ง.

เขาตรวจสอบพบว่า บริษัทปรากฏเรียกใช้ได้ โดยคนคนหนึ่ง ในสหรัฐอเมริกา และอาจอีกในยุโรปตะวันออก, ตัดสิน โดยข้อผิดพลาดทางภาษาที่ทำ โดยโปสเตอร์.

Maunder กล่าวว่า คนใน WordPress ใน ชุมชนควร "เริ่มต้นการล่าแม่มด".

"บางครั้งปลั๊กอินเปลี่ยนความเป็นเจ้าของ และไม่ค่อยมาก, ที่ไม่ไปดี. ที่ปรากฏเป็นสิ่งที่เกิดขึ้นในกรณีนี้ เขากล่าว.

แหล่งที่มา

2 ความคิดเห็น

ทิ้งคำตอบไว้