forum.opennet.ru

Составление сообщения

Исходное сообщение

"Ещё в трёх плагинах к WordPress найдены бэкдоры"
Отправлено opennews, 29-Дек-17 11:15

Следом за инцидентом (https://www.opennet.ru/opennews/art.shtml?num=47772) с выявлением бэкдора в плагине Captcha, в репозитории
WordPress.org по аналогичной причине заблокировано (https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../) ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов.  По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок  без ведома авторов контента.

Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит  изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).
Бэкдор выявлен в плагинах Duplicate Page and Post (https://wordpress.org/plugins/duplicate-page-and-post/) (50 тысяч установок), No Follow All External Links (https://wordpress.org/plugins/nofollow-all-external-links/) (9 тысяч установок) и WP No External Links (https://wordpress.org/plugins/wp-noexternallinks/) (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.
Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным  пользователям WordPress.org.

URL: https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=47826

Исходное сообщение
"Ещё в трёх плагинах к WordPress найдены бэкдоры" Отправлено opennews, 29-Дек-17 11:15
Следом за инцидентом (https://www.opennet.ru/opennews/art.shtml?num=47772) с выявлением бэкдора в плагине Captcha, в репозитории WordPress.org по аналогичной причине заблокировано (https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../) ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов. По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок без ведома авторов контента. Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот). Бэкдор выявлен в плагинах Duplicate Page and Post (https://wordpress.org/plugins/duplicate-page-and-post/) (50 тысяч установок), No Follow All External Links (https://wordpress.org/plugins/nofollow-all-external-links/) (9 тысяч установок) и WP No External Links (https://wordpress.org/plugins/wp-noexternallinks/) (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого. Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным пользователям WordPress.org. URL: https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=47826

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Следом за инцидентом (https://www.opennet.ru/opennews/art.shtml?num=47772) с выявлением 
> бэкдора в плагине Captcha, в репозитории 
> WordPress.org по аналогичной причине заблокировано (https://www.wordfence.com/blog/2017/12/plugin-backdoor-supply-chain/) 
> ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько 
> месяцев назад плагины были выкуплены у их владельцев, как и в 
> случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых 
> был добавлен код, позволяющий изменять содержимое страниц сайтов.  По предварительной 
> оценке вредоносная активность была нацелена на подстановку SEO-ссылок  без ведома 
> авторов контента.

> Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему 
> API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, 
> или https://wpconnect.org/api/v1/update), который при определённом сочетании значений 
> URL и User Agent выдаёт в ответ код, который начинает выполняться 
> при обработке любого запроса к сайту и производит  изменение отдаваемого 
> содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, 
> зарегистрированный пользователь, администратор или поисковый бот).

> Бэкдор выявлен в плагинах Duplicate Page and Post (https://wordpress.org/plugins/duplicate-page-and-post/) 
> (50 тысяч установок), No Follow All External Links (https://wordpress.org/plugins/nofollow-all-external-links/) 
> (9 тысяч установок) и WP No External Links (https://wordpress.org/plugins/wp-noexternallinks/) 
> (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование 
> и проверить свои сайты на предмет скрытого изменения содержимого.

> Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью 
> одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во 
> всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к 
> доменам, размещённым на одном IP, а также то, что оплата покупки 
> первого и второго плагина произведена одной компанией (Orb Online). Кроме того, 
> письмо с предложением покупки второго и третьего плагина было отправлено с 
> использованием идентичного шаблона, а после покупки все три плагина были переданы 
> только что зарегистрированным  пользователям WordPress.org.

> URL: https://www.wordfence.com/blog/2017/12/plugin-backdoor-supply-chain/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47826

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру