惡意的 WordPress 外掛程式安裝後門上數千個網站

 

的Widget插件噴出垃圾郵件給不知情的受害者

黑客們使用的WordPress插件在最多安裝後門 200,000 網站, allowng垃圾郵件被上載到網站不知情.

根據 研究 由IT安全公司WordFence進行, 插件, 被稱為窗口小部件顯示, 應該由網站所有者立即刪除. 該公司表示,該插件的最後三個版本都包含代碼,允許作者將發布受影響的網站的任何內容.

“這個插件的作者已經使用了後門發布垃圾內容的網站上運行他們的插件. 在過去的三個月插件已被刪除並重新加入WordPress.org插件庫一共有四次,“馬克·莫德說, WordFence的CEO.

蒙德說,該插件最初是由原作者作為一個開源插件開發,但隨後出售給其他人 21 六月. 一個更新版本, 2.6.0 被它的新主人立即釋放. WordFence是由大衛律師通知, 一家英國的SEO顧問, 該插件必須開始安裝額外的代碼,然後開始下載,從法律的服務器上的數據.

上 23 六月, WordFence刪除顯示的Widget, 一周後, 新東家發行版本 2.6.1 該插件. 此版本包含一個名為geolocation.php這, 沒人的時候實現, 包含惡意代碼. 此代碼允許插件作者以新的內容發布到網站上運行的插件, 他們選擇的網址.

“此外, 惡意代碼防止任何已登錄的用戶看到該內容. 換句話說, 網站擁有者不會看到惡意內容. 大衛·法再次聯繫該插件團隊,讓他們知道該插件登錄訪問每個網站到外部服務器, 其中有隱私問題,“蒙德說.

上 1 七月, 插件從WordPress的倉庫拉, 但再接著版本 2.6.2 關於 6 七月. 再一次, 包括惡意代碼中引用上述其中任何人都還在被人們忽視.

這是上 23 7月,當時用戶, 加爾文顏的名字 開了Trac的門票報告 這顯示小工具被注入垃圾內容到他的網站. 他包括一個鏈接到了索引的垃圾郵件谷歌的結果,並表示,惡意代碼是geolocation.php.

在九月, 版本 2.6.3 該插件的發布,它包含相同的惡意代碼. 上個星期, WordPress.org上的論壇用戶 報導 垃圾郵件已經被注入到他們的網站上顯示小工具插件支持論壇.

“插件的作者都在積極維護自己的惡意代碼, 垃圾郵件和源之間進行切換工作的混淆(隱藏)它們從取出垃圾的結構域“,蒙德說.

窗口小部件取出permanentely上 8 九月, 但蒙德找到了該插件的新買家到一個名為WP離散事件服務, 其中購買老和被遺棄的插件.

他的調查發現,該公司似乎是由一個人在美國在東歐運行和可能的另一種, 通過海報製作語言錯誤判斷.

蒙德說,人們在WordPress社會不應“開始任何政治迫害”.

“偶爾插件更改所有權和很少, 不順利. 這似乎是在這種情況下發生了什麼,“他說.

資源

2 註釋

發表評論