The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.12.2017 10:47  Ещё в трёх плагинах к WordPress найдены бэкдоры

Следом за инцидентом с выявлением бэкдора в плагине Captcha, в репозитории WordPress.org по аналогичной причине заблокировано ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов. По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок без ведома авторов контента.

Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).

Бэкдор выявлен в плагинах Duplicate Page and Post (50 тысяч установок), No Follow All External Links (9 тысяч установок) и WP No External Links (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.

Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным пользователям WordPress.org.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
  3. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  4. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  5. OpenNews: В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц
  6. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 11:15, 29/12/2017 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    Полон опасностей похапе-мирок.
     
     
  • 2.2, Michael Shigorin, 11:19, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +23 +/
    И чем бы отличались мерзавцы, которые подрядились вообще такое делягам писать, если бы оно было на сишарпе или питоне каком?
    Очередной "элитарий", не сумевший даже проблему понять.
     
     
  • 3.4, Аноним, 11:25, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    ну приведи пример подобного из Java EE NET-мирков Ты же сам в прошлой новости ... весь текст скрыт [показать]
     
     
  • 4.6, Michael Shigorin, 11:30, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Вас ведь не затруднит для начала привести аналог WP из них Вместе с плагинами ... весь текст скрыт [показать]
     
     
  • 5.11, лютый жабист__, 12:01, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Про дотнет не скажу, давно ковырял и не проникся, а в жабеЕЕ не нужен никакой а... весь текст скрыт [показать]
     
     
  • 6.15, Аноним, 13:01, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нет Простейший бложик - да, делается А комбайн с 100500 функций из коробки за ... весь текст скрыт [показать]
     
     
  • 7.28, Аноним, 01:41, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Вам и на жопу влеть и елку не уколоть Комбайн из гуаши ваты и пластилина Н... весь текст скрыт [показать]
     
  • 6.18, Аноним, 14:24, 29/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Поэтому жаба и не нужна никому.
     
  • 6.27, KonstantinB, 21:44, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То, что можно сделать на Java со Spring-ами за несколько дней, за те же несклько... весь текст скрыт [показать]
     
     
  • 7.29, Аноним, 01:46, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Итак, правильно ли мы Вас поняли, что популярность вордпресс приобрел среди проф... весь текст скрыт [показать]
     
  • 7.43, Аноним, 06:21, 31/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Но ведь проблема не в качестве кода в данном случае И кстати аналогичный пример... весь текст скрыт [показать]
     
  • 6.31, Аноним, 04:47, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Отличное решение, профессиональный жабист расскажет вам про то что конкуренты не... весь текст скрыт [показать]
     
  • 4.8, Аноним, 11:39, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Приведи пример аналога вордпресса по популярности в EE NET Причем тут вообще ... весь текст скрыт [показать]
     
     
  • 5.21, Анннм, 17:09, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен Как-т... весь текст скрыт [показать]
     
     
  • 6.30, Аноним, 01:48, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Идея плагинов хороша, но только тогда когда их делает одна фирма Используйте уж... весь текст скрыт [показать]
     
     
  • 7.32, Аноним, 04:49, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    1С это вообще один большой кусок малвари Проприетарное нечто с диким кодом и по... весь текст скрыт [показать]
     
  • 4.38, Аноним, 10:34, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто мирки Java EE NET не идут ни в какое сравнение с миром PHP Вот поэтому ... весь текст скрыт [показать]
     
  • 4.45, Уася, 13:05, 09/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну так дело наверно в WordPress, а не в похапэ
     
  • 3.34, пох, 09:09, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    да ничем, просто спроса на такую продукцию нет - влезть в питоновский репо подоб... весь текст скрыт [показать]
     
  • 2.25, Аноним, 20:48, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    Трояны в проце? Полон опасностей Asm-мирок. Полон опасностей rm -rf? Опасен shell-мирок. Террористы? Опасен оружия мирок. Пустая голова тролля? Безопасна.
     
     
  • 3.26, Аноним, 21:31, 29/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Это тянет на хокку о безысходности! даже на 2 хокку! :)
     
  • 1.3, Аноним, 11:25, 29/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
     
     
  • 2.5, vz, 11:30, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    барыгам - отрицательная карма
     
  • 2.7, Michael Shigorin, 11:33, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Покупайте наших слонов -- https youtu be siCiIyg4ZZY ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Анннм, 17:29, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Запретить продавать А за свою УЗ первоначальный владелец должен нести уголовную... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 04:56, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В большинстве юрисдикций есть уголовная ответственность за создание малвари Это... весь текст скрыт [показать]
     
     
  • 5.35, барыга, 09:16, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    проще запретить плагины Их те что продают пишут, если вы не поняли, не за спа... весь текст скрыт [показать]
     
     
  • 6.39, Аноним, 10:51, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    За большинство юрисдикций не скажу, но в РФ это 273 2, до 5 лет 272 3 предусмат... весь текст скрыт [показать]
     
     
  • 7.40, барыга, 12:40, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    только в ваших влажных мечтах В реальности надо доказать нанесенный вам ущерб ... весь текст скрыт [показать]
     
     
  • 8.42, Аноним, 14:09, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не надо, на вторую часть достаточно группы лиц и предварительного сговора А есл... весь текст скрыт [показать]
     
  • 1.9, Аноним, 11:50, 29/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Давай, Мэйсон, я верю в тебя!
    Покажи всем, что такое лёгкие в освоении CMS!
     
  • 1.10, Никитушкин Андрей, 11:51, 29/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Бэкдуров среди популярных плагинов довольно много. На мою критику по данному поводу админы wordpres.org ответили блокировкой моего аккаунта - это очень красноречивое свидетельство о том, что они все соучастники!
     
     
  • 2.12, Аноним, 12:41, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Если критика была такой же конструктивной и аргументированной, ничего удивительн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Никитушкин Андрей, 12:44, 29/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    А я вовсе не обязан перед вами отчитываться Мои сервера защищены не на уровне с... весь текст скрыт [показать]
     
     
  • 4.19, angra, 14:30, 29/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > Мною лишь озвучена статистика на уровне системы безопасности сервера.

    Я тебя наверное очень удивлю, но "Бэкдуров среди популярных плагинов довольно много" ни разу не статистика, тебя кто-то обманул.

     
  • 2.13, Аноним, 12:43, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    А ты не пробовал вежливо с людьми общаться А то хамство и демонстрация ЧСВ без ... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, Аноним, 13:18, 30/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    /do(ː)ɹ/
     
  • 1.16, Аноним, 13:17, 29/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Судя по названиям плагинов, на статических движках такой фигни бы не было.
     
     
  • 2.17, Аноним, 14:20, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Даже не смотря на названия плагинов, при Сталине такой фигни бы не было ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 14:46, 29/12/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Duplicate Page and Post аааааааа

    почти на всех моих сайтах,

     
  • 1.23, Аноним, 19:16, 29/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Нужно искать бэкдоры в репозиториях В особенности это касается дистрибутива Arc... весь текст скрыт [показать]
     
     
  • 2.24, Anonim, 20:27, 29/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

    В AUR?

     
     
  • 3.37, Аноним, 09:30, 30/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не только в AUR могут быть бэкдоры В основную репу разрабы тоже могут добавить ... весь текст скрыт [показать]
     
  • 2.36, барыга, 09:18, 30/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

    бабки, бабки-то - где?

     
  • 1.44, Аноним, 06:24, 31/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А в тп хостинга регулярно сыпятся жалобы что хостинг им сайты на wordpress и php... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor