恶意的 WordPress 插件安装后门上数千个网站

 

的Widget插件喷出垃圾邮件给不知情的受害者

黑客们使用的WordPress插件在最多安装后门 200,000 网站, allowng垃圾邮件被上载到网站不知情.

根据 研究 由IT安全公司WordFence进行, 插件, 被称为窗口小部件显示, 应该由网站所有者立即删除. 该公司表示,该插件的最后三个版本都包含代码,允许作者将发布受影响的网站的任何内容.

“这个插件的作者已经使用了后门发布垃圾内容的网站上运行他们的插件. 在过去的三个月插件已被删除并重新加入WordPress.org插件库一共有四次,”马克·莫德说, WordFence的CEO.

蒙德说,该插件最初是由原作者作为一个开源插件开发,但随后出售给其他人 21 6月. 一个更新版本, 2.6.0 被它的新主人立即释放. WordFence是由大卫律师通知, 一家英国的SEO顾问, 该插件必须开始安装额外的代码,然后开始下载,从法律的服务器上的数据.

关于 23 6月, WordFence删除显示的Widget, 一周后, 新东家发行版本 2.6.1 这个插件的. 此版本包含一个名为geolocation.php这, 没人的时候实现, 包含恶意代码. 此代码允许插件作者以新的内容发布到网站上运行的插件, 他们选择的网址.

"此外, 恶意代码防止任何已登录的用户看到该内容. 换句话说, 网站拥有者不会看到恶意内容. 大卫·法再次联系该插件团队,让他们知道该插件登录访问每个网站到外部服务器, 其中有隐私问题,”蒙德说.

关于 1 7月, 插件从WordPress的仓库拉, 但再接着版本 2.6.2 关于 6 7月. 再一次, 包括恶意代码中引用上述其中任何人都还在被人们忽视.

这是上 23 七月,当用户, 加尔文颜的名字 开了Trac的门票报告 这显示小工具被注入垃圾内容到他的网站. 他包括一个链接到了索引的垃圾邮件谷歌的结果,并表示,恶意代码是geolocation.php.

在 9 月, 版本 2.6.3 该插件的发布,它包含相同的恶意代码. 上个星期, WordPress.org上的论坛用户 报道 垃圾邮件已经被注入到他们的网站上显示小工具插件支持论坛.

“插件的作者都在积极维护自己的恶意代码, 垃圾邮件和源之间进行切换工作的混淆(隐藏)它们从取出垃圾的结构域“,蒙德说.

窗口小部件取出permanentely上 8 9月, 但蒙德找到了该插件的新买家到一个名为WP离散事件服务, 其中购买老和被遗弃的插件.

他的调查发现,该公司似乎是由一个人在美国在东欧运行和可能的另一种, 通过海报制作语言错误判断.

蒙德说,人们在WordPress社会不应“开始任何政治迫害”.

“偶尔插件更改所有权和很少, 不顺利. 这似乎是在这种情况下发生了什么,”他说.

2 评论

发表评论