The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Более ста тысяч сайтов на платформе WordPress поражены вредоносным ПО

15.12.2014 09:14

В воскресенье в список блокировки Google попало около 11 тысяч хостов, работающих на платформе WordPress. Причиной блокировки стало появление на данных сайтах вредоносного JavaScript-кода, поражающего клиентские браузеры посетителей. Дополнительное сканирование сети показало, что число проблемных сайтов превышает сто тысяч.

Распознать поражение сайта вредоносным ПО можно оценив наличие файла wp-includes/js/swobject.js и появление в загрузчике шаблонов wp-includes/template-loader.php новой функции "FuncQueueObject". Данные изменения приводят к тому, что при открытии любой страницы файла выполняется JavaScript-код, которые загружает, декодирует и запускает вредоносное ПО с сайта SoakSoak.ru. Метод, который используется для помещения вредоносной вставки на сайты, пока неясен. Наиболее вероятно, что атака совершается через применения эксплоита для плагинов Slider Revolution и Showbiz Pro, в которых в сентябре были найдены критические уязвимости.

Дополнение: Подтверждено, что для поражения систем была использована уязвимость в плагине Slider Revolution. Кроме того, сообщается, что атака может не ограничиваться изменением файла wp-includes/template-loader.php и добавлением wp-includes/js/swobject.js - для контроля над системой могут быть интегрированы дополнительные лазейки и добавлен дополнительный пользователь с правами администратора.

  1. Главная ссылка к новости (http://blog.sucuri.net/2014/12...)
  2. OpenNews: В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий
  3. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  4. OpenNews: Обновление WordPress 3.6.1 с устранением уязвимости, которая может привести к выполнению PHP-кода
  5. OpenNews: Зафиксирована массовая атака, нацеленная на создание ботнета из сайтов на базе WordPress
  6. OpenNews: Уязвимые сайты на базе Joomla и WordPress в массовом порядке вовлечены в распространение вредоносного ПО
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/41268-wordpress
Ключевые слова: wordpress
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iZEN (ok), 09:36, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –29 +/
    Перестаньте называть ECMAScript Java...
     
     
  • 2.2, Аноним (-), 09:40, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты коллекционер минусов в комменты, что ли?
     
     
  • 3.38, kai3341 (ok), 16:16, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >  Ты коллекционер минусов в комменты, что ли?

    Ты плюсодрочер?

     
  • 2.12, Аноним (-), 11:51, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Перестаньте называть яваскрипт явой.
     
  • 2.21, vitalif (ok), 13:07, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перестаньте называть яваскрипт екмой))
     
  • 2.23, Аноним (-), 13:30, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >2014
    >Делать сайты на WP
     
  • 2.24, MPEG LA (?), 13:51, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Перестаньте использовать Wordpress.
    А если не можете, то просто не ставьте плагины, которые не писали сами.
     
     
  • 3.26, Аноним (-), 13:58, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасный cms в студию!
     
     
  • 4.32, MPEG LA (?), 14:18, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Дело даже не CMS, а в понимании концепции необходоимости и достаточности функционала.
    Можно что угодно использовать, dokuwiki тот же.
    Но на бекенде.
    А на фронтенде ставить что-нибудь нормальное, с кешированием контента в статику, с оптимизацией выдачи (уменьшение количество запросов + передача чанков в рамках одного запроса).
    Надо комменты к статьям? Интегрируйте дискус или свой собственный аналог. Или тинтаклю.
     
     
  • 5.46, Аноним (-), 17:35, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Или не и3.14те моск, и если вам хотят заплапить не больше полтинника, ставьте WPб ставьте столько плагов сколько надо. Главная идея - всё должно занять 1 час максимум. И бегом окучивать следующего.
    А про высокиее идеалы забудте, про них рассуждают те кто сидит на з\п и занимается ИБД :)
     
  • 3.36, Аноним (-), 15:02, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Перестаньте использовать Wordpress.
    > А если не можете, то просто не ставьте плагины, которые не писали
    > сами.

    Поддерживаю, мысль о плагинах. Но собственно и WP без плагинов не сильно то секюрная

     
  • 2.40, Аноним (-), 16:35, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    перестань писать в комментах
     
  • 2.52, Аноним (-), 21:13, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    перестаньте переставать думать, когда перестаёте читать, чтобы написать о переставании писать после переставания читать. ибо дзен.
     

  • 1.4, Bocha (??), 09:48, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Собственно, выходит, ВордПресс-то не виноват. Плагины дырявые просто. У кого их нет, у того, при условии своевременных обновлений самого движка, и проблем быть не должно, так ли?
     
     
  • 2.5, Shipiloff69 (?), 10:15, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    у себя не обнаружил, данных плагинов нет, WP свежее
     
  • 2.6, тоже Аноним (ok), 10:20, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, тем, кто сидит на голом движке, вообще бояться нечего. Они никому не интересны.

    Проблема-то серьезная. Своевременное обновление - это замечательно, но "новый год чаще". Обычно студия собрирает сайт "из того, что было" (не факт, что вообще с актуальной на этот момент версией), и клиент считает, что все его проблемы закончились, а копаться в админке не надо - еще сломаешь чего. Пока его не ткнут носом, что вирусня с его сайта кого-то заражает - никаких обновлений не будет. Все, как с хомячковой виндой, только на широком канале и в общей доступности. А это уже беда...

     
     
  • 3.9, anonymous from da LOR (?), 11:04, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > еще сломаешь чего

    А ведь сломаешь.

     
     
  • 4.11, alex (??), 11:42, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сделал скриншот на память.
     
  • 4.13, тоже Аноним (ok), 11:52, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Или, как вариант, потеряешь...
     
  • 3.27, Аноним (-), 14:01, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Золотая жила для сайтописателей. Бабло за "поддержку" брать - это тебе не мешки ворочать

     
     
  • 4.31, тоже Аноним (ok), 14:17, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Собственно, это и есть позиция большинства владельцев сайтов. Зачем платить за то, что легко делается... и легко НЕ делается. До поры.
     
  • 4.64, arisu (ok), 18:33, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Золотая жила для сайтописателей. Бабло за "поддержку" брать - это тебе не
    > мешки ворочать

    ага. административные задачи вообще один обман сплошной! вот так надо: берём на работу админа, он всё настраивает, а потом его увольняем. а зачем он нужен, если всё работает? платить ещё ему, дармоеду!

     
  • 3.47, Аноним (-), 17:48, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, тем, кто сидит на голом движке, вообще бояться нечего. Они никому не интересны.

    Школота сломав зубки обижается как кисо и плачет про "не очень то и надо было"? :)

     

  • 1.7, Аноним (-), 10:27, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а ежели файл есть, а функции нет?
     
     
  • 2.8, Аноним (-), 10:29, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    отбой тревоги, там swfobject
     

  • 1.10, pkdr (ok), 11:13, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Распознать поражение сайта вредоносным ПО...

    ...можно определить по наличию там wordpress (ну или drupal|joomla, я же не шовинист).

     
     
  • 2.16, _KUL (ok), 12:44, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По этому нужно самому писать и на экзотике (на баш интрператоре), что бы фиг кто заморочился на взлом :)
     
     
  • 3.28, Аноним (-), 14:08, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > По этому нужно самому писать и на экзотике (на баш интрператоре), что
    > бы фиг кто заморочился на взлом :)

    Чо не на ассемблере то?

     

  • 1.17, koblin (ok), 12:44, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем давать веб-серверу права на запись в wp-includes?!
     
     
  • 2.18, derfenix (ok), 12:51, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Затем что "да блин, задолбался с правами этими... chmod -R a+rwX ./"
    Ты реально думаешь, что большинство из тех, кто создаёт сайты на WP, заморачивается с правами доступа? Среди них же процентов 85 виндузятников.
     
     
  • 3.19, Аноним (-), 12:59, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Виндузятники не при чем. Посмотри, как сделаны по умолчанию установка и обновление плагинов и тем в ВордПрессе, каких прав они требует, начиная с ftp. Это же "тушите свет". Так что неудивительно.
     
     
  • 4.20, derfenix (ok), 13:05, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ещё как при чём. Для виндоюзеров в большинстве случае все эти oagu ± rwxXSTt выглядят такой абракадаброй, что они ни в жизнь не разберутся. Они не понимают разницы, между 0755 и 0777, и что вообще это всё значит большинство из них тоже не понимает. Те, кто на никсы пересел хотя бы годик назад, хотя бы в общих чертах представляют, что это, зачем и как этим пользоваться.

    Ну а процесс обновления/установки плагинов в ВП - ну это вообще следствие ущербности php и/или приложений, написанных на нём. Что ещё ждать от шаблонизатора, возомнившего себя ЯП.

     
     
  • 5.30, Аноним (-), 14:14, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Вот она элита. Осилила 3 цифры по 3 раза!
    Многие "вендузятники" поумнее тебя будут.
     
     
  • 6.65, arisu (ok), 18:34, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Многие "вендузятники" поумнее тебя будут.

    уже сам факт использования винды красноречиво свидетельствует, что это днище.

     
  • 2.22, vitalif (ok), 13:08, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > зачем давать веб-серверу права на запись в wp-includes?!

    Зачем, зачем, ОНО же плагинчики и обновления хочет через админку ставить.

     
     
  • 3.25, тоже Аноним (ok), 13:55, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А что, в других CMS плагины и обновления ставятся только рутом и только через командную строку?
     
     
  • 4.29, Аноним (-), 14:13, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Вордпрессе их тоже можно ставить только через ssh, не давая cms-у явно чрезмерных прав. Но это если на вашем собственном хостинге.
     
     
  • 5.33, тоже Аноним (ok), 14:19, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, что все можно делать правильно.
    Но если правильно - неудобно, а неправильно - удобно, то тех, кто будет делать правильно, можно вообще в расчет не принимать. Они явно будут в меньшинстве. Априори.
     
     
  • 6.56, dscdvsv (?), 01:08, 16/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >  то тех, кто  будет делать правильно, можно вообще в расчет не принимать. Они явно

    будут в меньшинстве.

    И что характерно им эта правильность от другой дырки все равно не поможет. В консерватории что-то не так.

     

  • 1.34, Аноним (-), 14:52, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо было G+ юзать, а не ерундой страдать на ворлдпрессах.
     
     
  • 2.37, commiethebeastie (ok), 15:56, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    на вордпрессах сайты продвигают вообще-то.
     
     
  • 3.55, Аноним (-), 22:53, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Мне сервисов от гугла хватает.
    Хорошо, когда всё в одном месте, под рукой и сразу.
     
     
  • 4.57, dscdvsv (?), 01:14, 16/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне сервисов от гугла хватает.

    http://www.computerworld.com/article/2857007/more-than-30-vulnerabilities-fou

    There are serious vulnerabilities in Google App Engine (GAE), a cloud service for developing and hosting Web applications, a team of security researchers has found.

    и кстати

    Almost all of the issues found were specific to the Google Apps Engine environment, according to Gowdiak. "We didn't use any Oracle Java code sandbox escape."

     
  • 4.66, arisu (ok), 18:35, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошо, когда всё в одном месте, под рукой и сразу.

    это да. чтобы если поиметь — так сразу всё, не мучиться отдельно с каждой фигнёй.

     

  • 1.35, Аноним (-), 14:57, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У WP такой список багов, популярность такая как когда то была у Joomla, Обе системы сильно дырявые.
     
     
  • 2.39, Typhoon (ok), 16:33, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    но альтернативы по удобству юзания нет
     
     
  • 3.50, Аноним (-), 18:41, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > но альтернативы по удобству юзания нет

    Собственно проект такой как WP или та же Joomla стали дырками по одной причине. Попытка угодить большему количеству пользователей, заставляет разработчиков расширять функционал и тем самым добавляя больше кода за безопасностью которого весьма сложно следить. Следить сложно еще потому что сам PHP далек от идеала и писать на нем код с большим количеством различных проверок, это накладные расходы. Не у всех есть достаточно средств чтобы позволить себе виртуальный или выделенный сервер под сайтик на WP или Joomla.

    P.S. не говорю что PHP плохой, просто мера нужна это касается и WP, Joomla

     

  • 1.51, Аноним (-), 20:16, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из всех ЦМС мне нравится 1С Битрикс. Ломануть наврядли кто сможет.
     
     
  • 2.53, byu (?), 21:27, 15/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Из всех ЦМС мне нравится 1С Битрикс. Ломануть наврядли кто сможет.

    :)

     
  • 2.59, Аноним (-), 09:15, 16/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты - прав, но вероятно это языковая проблема англоязычных! ГЫ!
    А русскоязычные - дохнут от смеха/страха ещё при приближении к нему =)
     

  • 1.54, ua9oas (ok), 22:08, 15/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > стало появление на данных сайтах вредоносного JavaScript-кода, поражающего клиентские браузеры посетителей.

    А как эти риски зависят от того, какой это браузер и какая ОС? И что, антивирусы от этого защитить не могут что ли? В чем заключается вредоносность таких поражений? (А если это винда "95" или иное что постарее то тогда есть ли шанс, что то такие вещи современная малварь не "зацепит"? (У меня есть такой знакомый, который такой экзотикой и сейчас пользуется)).
    Зависит ли риск зараженности такой cms от того, на какой ОС хостится сайт?

     
  • 1.60, Sergey722 (ok), 09:54, 16/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ведь Касперский еще 5 мини новостей назад предупреждал, что Линукс небезопасен. А его никто не слушал...
     
     
  • 2.61, тоже Аноним (ok), 09:59, 16/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, судя по тому, что сайт Касперского еле шевелится, а вчера вечером вообще выдавал 502 - эти на Битриксе...
     

  • 1.62, noname12 (ok), 12:49, 16/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >и запускает вредоносное ПО с сайта SoakSoak.ru

    а РосКомНадзор считает этот сайт нормальным, не то что github?

     
     
  • 2.63, тоже Аноним (ok), 13:25, 16/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да что РКН - даже Спортлото никак не реагирует на многочисленные письма возмущенных пользователей! Преступная халатность, вот это что!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру