Ещё в трёх плагинах к WordPress найдены бэкдоры

29 декабря 2017 года

Wikinews-logo-ru.svg

Следом за инцидентом с выявлением бэкдора в плагине Captcha, в репозитории WordPress.org по аналогичной причине заблокировано ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов. По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок без ведома авторов контента.

Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).

Бэкдор выявлен в плагинах Duplicate Page and Post (50 тысяч установок), No Follow All External Links (9 тысяч установок) и WP No External Links (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.

Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным пользователям WordPress.org.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Ещё в трёх плагинах к WordPress найдены бэкдоры», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Ещё в трёх плагинах к WordPress найдены бэкдоры