The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ещё в трёх плагинах к WordPress найдены бэкдоры

29.12.2017 10:47

Следом за инцидентом с выявлением бэкдора в плагине Captcha, в репозитории WordPress.org по аналогичной причине заблокировано ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов. По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок без ведома авторов контента.

Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).

Бэкдор выявлен в плагинах Duplicate Page and Post (50 тысяч установок), No Follow All External Links (9 тысяч установок) и WP No External Links (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.

Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным пользователям WordPress.org.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
  3. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  4. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  5. OpenNews: В результате атак на уязвимые версии WordPress поражено почти 2 млн страниц
  6. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47826-wordpress
Ключевые слова: wordpress, backdoor
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:15, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Полон опасностей похапе-мирок.
     
     
  • 2.2, Michael Shigorin (ok), 11:19, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +22 +/
    И чем бы отличались мерзавцы, которые подрядились вообще такое делягам писать, если бы оно было на сишарпе или питоне каком?
    Очередной "элитарий", не сумевший даже проблему понять.
     
     
  • 3.4, Аноним (-), 11:25, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну приведи пример подобного из Java EE/.NET-мирков. Ты же сам в прошлой новости говорил о PHP/LAMP-[суб]культуре. А я, будучи эмигрантом как раз из подобного мирка, прямо заявляю, что это лишь вершина айcберга.
     
     
  • 4.6, Michael Shigorin (ok), 11:30, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вас ведь не затруднит для начала привести аналог WP из них?  Вместе с плагинами от более чем одного разработчика? (я не троллю, просто давно выпал из новостей CMS/CMF и так, с жабовыми если и сталкивался, то забыл когда, тем более дотнетовыми)

    Понятно, что градус разгильдяйства "при чём" и при выборе языка, и при выборе базовой CMS (уж сколько нормальных людей поуходили из той же жумлы, попытавшись что-то там исправить и напоровшись как раз на асберг).

    Но тут критично не разгильдяйство, а злонамерение, как мне кажется.

     
     
  • 5.11, лютый жабист__ (?), 12:01, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Вас ведь не затруднит для начала привести аналог WP из них?

    Про дотнет не скажу, давно ковырял и не проникся, а в жабеЕЕ не нужен никакой "аналог WP", там на высокоуровневом фреймворке например Primefaces "свой WP" делается за несколько дней.

    А у Primefaces репутация нормальная и никаких "левых плагинчиков".

     
     
  • 6.15, Аноним (-), 13:01, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "свой WP" делается за несколько дней.

    Нет. Простейший бложик - да, делается. А комбайн с 100500 функций из коробки за несколько дней никак сделается. А если бы было "не нужно", то им бы не пользовалось столько народу, несмотря на то, что у вордпресса внутри.

    А высокоуровневых фреймворков на пхп - полно. Symfony так вообще со Spring слизана.

     
     
  • 7.28, Аноним (-), 01:41, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вам и на жопу влеть и елку не уколоть... Комбайн из гуаши ваты и пластилина...
    Ну чего хотели того и получили... А в целом под заказ надо конечно делать а не лепить горабтого
    У бизнеса всегда есть деньги на разработчиков так что не надо гнать пургу а те кто халявят получат серьезный риск а потом будут доказывать что клиенты сами к конкурентам ушли )
     
  • 6.18, Аноним (-), 14:24, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поэтому жаба и не нужна никому.
     
  • 6.27, KonstantinB (ok), 21:44, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То, что можно сделать на Java со Spring-ами за несколько дней, за те же несклько дней делается на PHP и Symfony. И код будет очень похож. Если задача простая - вполне можно справиться, да.

    Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно собрать адовый комбайн за 30 минут, не умея программировать вообще.

    И, конечно же, в любую систему, поддерживающую сторонние плагины, всегда можно запихать вредоносный код. Кто помешает-то? Любые автоматизированные проверки можно обойти. Единственный способ этого избежать - делать по принципу эппловского AppStore, с централизованным ревью кода и цифровыми подписями.

     
     
  • 7.29, Аноним (-), 01:46, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/

    > Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве
    > кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно
    > собрать адовый комбайн за 30 минут, не умея программировать вообще.

    Итак, правильно ли мы Вас поняли, что популярность вордпресс приобрел среди профанов (то есть не специалистов), которые могут самостоятельно собрать комбаин за 30 минут из 1000 плагинов, но решение получиться сомнительного качества.

    В целом я с Вами согласен у любого человека все получиться, но качество... Скажем вот попросить Вас изготовить автомобиль и даже дать вам готовые детали ну там корпус от запорожца не знаю движок от бехи и стекла от ауди и синюю изоленту уверен толк будет и даже оно вполне поедет, но зачем когда на рынке полно людей проф-но делающих все это )

     
  • 7.43, Аноним (-), 06:21, 31/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но ведь проблема не в качестве кода в данном случае.
    И кстати аналогичный пример это playstore и каталоги дополнений браузеров. В playstore просто программы с вирусами загружают, а в каталогах дополнений такие же ситуации часто происходят как в этой новости.
     
  • 6.31, Аноним (-), 04:47, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а в жабеЕЕ не нужен никакой "аналог WP"

    Отличное решение, профессиональный жабист расскажет вам про то что конкуренты не нужны, лучше купите у него слона.

    > А у Primefaces репутация нормальная и никаких "левых плагинчиков".

    Это вообще что? Что такое вордпресс - каждый второй знает. А про это нечто - в первый раз слышу.

     
  • 4.8, Аноним (-), 11:39, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Приведи пример аналога вордпресса (по популярности) в EE/.NET

    Причем тут вообще субкультуры и языки. Хром вот вообще на плюсах написан - https://www.opennet.ru/opennews/art.shtml?num=46945 , https://www.opennet.ru/opennews/art.shtml?num=46851 - и что?

    Есть продукт позволяет использовать плагины, то кто-нибудь может этим воспользоваться в нехороших целях.

     
     
  • 5.21, Анннм (?), 17:09, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
    Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели, а он делает другое. Хотя бы несколько автоматических тестов проводить и выводить куда лезет плагин и что меняет пользователю до установки.
     
     
  • 6.30, Аноним (-), 01:48, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
    > Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели,
    > а он делает другое. Хотя бы несколько автоматических тестов проводить и
    > выводить куда лезет плагин и что меняет пользователю до установки.

    Идея плагинов хороша, но только тогда когда их делает одна фирма. Используйте уже тогда 1С:Витрина

     
     
  • 7.32, Аноним (-), 04:49, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1С это вообще один большой кусок малвари. Проприетарное нечто с диким кодом и полудохлой поддержкой даже за деньги.
     
  • 4.38, Аноним (-), 10:34, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Просто мирки Java EE/.NET не идут ни в какое сравнение с миром PHP. Вот поэтому и не интересны бекдоровстраивателям.
     
  • 4.45, Уася (?), 13:05, 09/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так дело наверно в WordPress, а не в похапэ
     
  • 3.34, пох (?), 09:09, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    да ничем, просто спроса на такую продукцию нет - влезть в питоновский репо подобным способом можно, но придется либо в подворотне подкарауливать, либо пароли подбирать - нет практики продажи модулей вместе с авторскими правами и названием.

    А для готовых расширяемых cms на пихоне может она и есть, но никто не знает и не узнает об их существовании. Ибо ненужно, вордопреса с друпалкой уже все значимые поляны засpали. А 1С почему-то никому не интересен, угадайте, чего это вдруг...

     
  • 2.25, Аноним (-), 20:48, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Трояны в проце? Полон опасностей Asm-мирок. Полон опасностей rm -rf? Опасен shell-мирок. Террористы? Опасен оружия мирок. Пустая голова тролля? Безопасна.
     
     
  • 3.26, Аноним (-), 21:31, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это тянет на хокку о безысходности! даже на 2 хокку! :)
     

  • 1.3, Аноним (-), 11:25, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
     
     
  • 2.5, vz (?), 11:30, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    барыгам - отрицательная карма
     
  • 2.7, Michael Shigorin (ok), 11:33, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?

    "Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZY

     
     
  • 3.22, Анннм (?), 17:29, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
    > "Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZY

    Запретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.

     
     
  • 4.33, Аноним (-), 04:56, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Запретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.

    В большинстве юрисдикций есть уголовная ответственность за создание малвари. Этого мало?

     
     
  • 5.35, барыга (?), 09:16, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Запретить продавать.

    проще запретить плагины. Их (те что продают) пишут, если вы не поняли, не за спасибо. Спасибом сыт не будешь.

    > В большинстве юрисдикций есть уголовная ответственность за создание малвари.
    > Этого мало?

    мало - это, "в большинстве юрисдикций" не малварь. Не наносит прямого ущерба ни пользователю, ни его системе, ни его клиентам. Показывают вам иногда интересную и неназойливую рекламу. Данные утекают налево? Так это "обычная бизнес-практика", и за это скажите спасибо не каким-то там барыгам, а одной корпорации бла-бла и другой корпорации бабла.

    Я плагин - купил, за нормальные деньги, все честно. Я добавил туда нужный и полезный мне функционал - ну так я тебе ничего и не обещал...

     
     
  • 6.39, Аноним (-), 10:51, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > это, "в большинстве юрисдикций" не малварь

    За большинство юрисдикций не скажу, но в РФ это 273/2, до 5 лет.

    > Данные утекают налево? Так это "обычная бизнес-практика"

    272/3 предусматривает ответственность за такую "бизнес-практику".

     
     
  • 7.40, барыга (?), 12:40, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    только в ваших влажных мечтах. В реальности надо доказать нанесенный вам ущерб.
    Нет, моральные страдательства и прочие розовые сопли в УК не катят.

    > 272/3 предусматривает ответственность за такую "бизнес-практику".

    гуглю это расскажите, вот они поржут.

     
     
  • 8.42, Аноним (-), 14:09, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо, на вторую часть достаточно группы лиц и предварительного сговора А есл... текст свёрнут, показать
     

  • 1.9, Аноним (-), 11:50, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давай, Мэйсон, я верю в тебя!
    Покажи всем, что такое лёгкие в освоении CMS!
     
  • 1.10, Никитушкин Андрей (?), 11:51, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Бэкдуров среди популярных плагинов довольно много. На мою критику по данному поводу админы wordpres.org ответили блокировкой моего аккаунта - это очень красноречивое свидетельство о том, что они все соучастники!
     
     
  • 2.12, Аноним (-), 12:41, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если критика была такой же конструктивной и аргументированной, ничего удивительного.
     
     
  • 3.14, Никитушкин Андрей (?), 12:44, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если критика была такой же конструктивной и аргументированной, ничего удивительного.

    А я вовсе не обязан перед вами отчитываться. Мои сервера защищены не на уровне сайта. Мною лишь озвучена статистика на уровне системы безопасности сервера.

     
     
  • 4.19, angra (ok), 14:30, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Мною лишь озвучена статистика на уровне системы безопасности сервера.

    Я тебя наверное очень удивлю, но "Бэкдуров среди популярных плагинов довольно много" ни разу не статистика, тебя кто-то обманул.

     
  • 2.13, Аноним (-), 12:43, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ты не пробовал вежливо с людьми общаться? А то хамство и демонстрация ЧСВ без конструктива и патчей обычно не приветствуются.
     
  • 2.41, Аноним (-), 13:18, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    /do(ː)ɹ/
     

  • 1.16, Аноним (-), 13:17, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по названиям плагинов, на статических движках такой фигни бы не было.
     
     
  • 2.17, Аноним (-), 14:20, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Судя по названиям плагинов, на статических движках такой фигни бы не было.

    Даже не смотря на названия плагинов, при Сталине такой фигни бы не было.

     

  • 1.20, Аноним (-), 14:46, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Duplicate Page and Post аааааааа

    почти на всех моих сайтах,

     
  • 1.23, Аноним (-), 19:16, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.
     
     
  • 2.24, Anonim (??), 20:27, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

    В AUR?

     
     
  • 3.37, Аноним (-), 09:30, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не только в AUR могут быть бэкдоры. В основную репу разрабы тоже могут добавить много чего.
     
  • 2.36, барыга (?), 09:18, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

    бабки, бабки-то - где?

     

  • 1.44, Аноним (-), 06:24, 31/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А в тп хостинга регулярно сыпятся жалобы что хостинг им сайты на wordpress и php 5.3 взломал.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру