The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.02.2018 09:48  Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером

Исследователи из компании Sucuri выявили атаку по подстановке на незащищённые сайты под управлением WordPress JavaScript-кода с реализацией кейлоггера, перехватывающего пароли и друге вводимые данные, и отправляющего их на серверы злоумышленников, используя протокол WebSocket. В состав устанавливаемого вредоносного кода также входит JavaScript-реализация системы для майнинга криптовалюты, которая запускается в браузерах посетителей поражённых сайтов.

Новый вредоносный код обнаружен на более чем 2000 сайтов. Для загрузки кода используются внешние хосты msdns.online, cdns.ws и cdjs.online (с сайтов загружаются скрипты с именами lib.js, googleanalytics.js, mnngldr.js или klldr.js, которые камуфлируются под код jQuery и GoogleAnalytics). До этого в декабре была выявлена похожая атака, которая охватила более 5000 сайтов, но была прекращена после блокирования связанного с ней домена cloudflare.solutions, притворяющегося сервисом компании Сloudflare.

На поражённых системах код для загрузки вредоносных скриптов подставляется в таблицу базы данных WordPress с содержимым страниц (wp_posts), а также в файлы functions.php тем оформления. Предполагается, что для внесения изменений в серверную часть WordPress эксплуатируются известные уязвимости в не обновлённых версиях WordPress или плагинах к данной платформе.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Представлены работающие на GPU прототипы руткита и кейлоггера для Linux
  3. OpenNews: Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами
  4. OpenNews: Представлена техника определения PIN-кода через анализ данных с датчиков смартфона
  5. OpenNews: Оценка возможности интеграции кейлоггера в KVM-переключатель Belkin OmniView
  6. OpenNews: Атака на заблокированный ПК через USB
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, trojan, keylogger, mallware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 10:07, 03/02/2018 [ответить] [смотреть все]    [к модератору]
  • +4 +/
    >Более 2000 сайтов под управлением WordPress оказались поражены

    А вот читатели новости совсем не поражены их неудачей. Это как землетрясения в Японии или ураганы в США -- неприятно, но ожидаемо; и сделать с этим пока ничего нельзя.

     
     
  • 2.8, вы забыли заполнить имя муимя, 12:06, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –1 +/
    2 тыщи сайтов среди двухсот миллионов сайтов.
     
     
  • 3.15, wordpress, 13:45, 03/02/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +1 +/
    opennet wordpress https www opennet ru cgi-bin opennet ks cgi mask wordpre... весь текст скрыт [показать]
     
  • 2.20, trdm, 17:35, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    разве что уровень грамотности среди одминов поднять ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, A.Stahl, 18:03, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Ну я и говорю: ничего сделать нельзя.
     
     
  • 4.34, Akteon, 20:31, 03/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Можно Например как представлю Большой процесс программистов -вредителей , ил... весь текст скрыт [показать]
     
  • 3.25, Аноним, 18:26, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Проще уровень мирового океана поднять чем это, увы.
     
  • 2.44, Хряк, 02:33, 04/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –4 +/
    > ураганы в США -- неприятно

    А мне приятно.

     
     
  • 3.48, A.Stahl, 09:17, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Ну шовинисты фанаты а у соседа корова сдохла были всегда И почему бы тебе не ... весь текст скрыт [показать]
     
  • 1.2, vz, 10:36, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Насколько я помню, www.digilinux.ru тоже на нём, чего там опять случилось?
     
  • 1.3, Аноним, 11:11, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –6 +/
    >Более 2000 сайтов
    >охватила более 5000 сайтов

    php же, обычное дело

     
     
  • 2.9, Ананас, 12:15, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    Покушай где-нибудь в другом месте
     
  • 2.19, Аноним, 16:39, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Да, да, обычное дело, втентакль и фейсбук каждый день ломают.
     
     
  • 3.29, Игорь, 19:05, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Facebook уже давно не на PHP
     
     
  • 4.35, Ананас, 21:21, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не по причине безопасности, а архитектуры и технологий.
     
  • 4.52, anomymous, 20:19, 04/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да? И на чём же он?
     
     
  • 5.55, AMDGPUi915, 05:09, 05/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    HHVM/Hack-language: https://docs.hhvm.com/hack/overview/typing
     
  • 1.4, тоже Аноним, 11:18, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Неконкретное какое-то описание.
    Насколько я понимаю, кейлоггер на JS ограничен той страницей, на которой он запустился. Если у тебя в соседней вкладке банк - ему ничего не грозит.
    Или технологии уже пробили этот круг защиты?
     
     
  • 2.11, Аноним, 12:49, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –6 +/
    С помощью Meltdown можно слушать и соседние вкладки.
     
     
  • 3.17, anonymous, 16:09, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    С помощью Spectre тогда уж.
     
     
  • 4.56, Аноним, 12:25, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот Meltdown https youtu be RbHbFkh6eeE Чем это отличается от разных вкладок ... весь текст скрыт [показать]
     
     
  • 5.57, тоже Аноним, 13:23, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Элементарный здравый смысл говорит, что орудиями такого калибра логичнее целитьс... весь текст скрыт [показать]
     
     
  • 6.58, Аноним, 14:48, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Одно другому не мешает И получение данных для входа в почту или личный кабинет ... весь текст скрыт [показать]
     
     
  • 7.59, тоже Аноним, 14:53, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Имея админа, можно с этой машины владельца не только разорить, но и подставить, ... весь текст скрыт [показать]
     
     
  • 8.60, Аноним, 15:06, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То же самое можно сказать и о почте, и о личном кабинете в банке - с ещё большей... весь текст скрыт [показать]
     
     
  • 9.61, тоже Аноним, 15:42, 05/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На этом локалхосте после отработки эксплойта, имеющего права локального админа, ... весь текст скрыт [показать]
     
  • 2.41, Аноним, 00:12, 04/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Сайт в фоне собирал нажатые клавиши в iOS и мог перехватить пароль экрана блокир... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, тоже Аноним, 00:21, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Пруф Такое утверждение означает, что любое приложение на iOS может слушать вирт... весь текст скрыт [показать]
     
  • 1.5, neon1ks, 11:25, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    2000 сайтов это меньше одного процента среди всех сайтов на WordPress. Не следует забывать про свои сайты, обновлять и поддерживать из надо)
     
  • 1.10, прохожий, 12:19, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    > The script sends data entered on every website form (including the login form) to the hackers via the WebSocket protocol
    > This script adds a handler to every input field on the websites to send its value to the attacker
    > What sort of data can be stolen this way? Since we are talking about WordPress sites, such sites usually have search boxes and comment forms. This might not be that interesting to the bad guys. But what if the WordPress site has some ecommerce functionality and embeds a checkout form? This scenario allows a hacker to steal the payment details.

    Очевидно, что с зараженного сайта сливаются все формы ввода. Но как обстоят дела с соседними вкладками? Вероятно их это не затрагивает

     
  • 1.13, Дмитрий, 13:02, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Как же раздражают CMS, при обновлениях ломают, юзеры ничего не обновляют(ни плагины, ни сам движок), если поломал один сайт, то с вероятностью в 90% можно так-же поломать и другие сайты.
     
     
  • 2.18, Аноним, 16:29, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Обновил плагин с бекдором от мейсона 8212 дурак, не обновил 8212 всё равно... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Аноним, 22:31, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Смешно, что где то в Githab e jQuery есть темка, когда jQuery поломали обратную ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Аноним, 13:05, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Превратили браузер в комбайн, а теперь страдают
     
     
  • 2.16, Вы забыли заполнить поле Name, 14:48, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Новые возможности требуют использования мозгов Видимо у авторов этих сайтов или... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, комбайн, 17:48, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Новые возможности мало где реально нужны.
     
     
  • 4.31, Аноним, 20:17, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Полезай в пещеру
     
     
  • 5.63, Клыкастый, 18:24, 06/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем ты предлагаешь ему новую возможность Он же ясно сказал новые возможности... весь текст скрыт [показать]
     
  • 2.26, Аноним, 18:30, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Издеваешься Яваскрипт и XHR по минимуму умел чуть ли не третий ишак еще Ну уж ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 20:18, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ++
     
  • 1.21, Аноним, 17:46, 03/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    https github com CentOS CentOS-Dockerfiles blob master wordpress centos7 Docke... весь текст скрыт [показать]
     
     
  • 2.27, Аноним, 18:31, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Это что Вордпресс с предустановленным майнером ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 19:22, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Это голый http без даже банального md5 или gpg
     
  • 1.23, Kuromi, 17:51, 03/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Эта тема с JS майнингом крипты уже начала разражать Помнится как-то случайно гу... весь текст скрыт [показать]
     
     
  • 2.28, Аноним, 18:45, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Ты хочешь чтобы Лиса Алиса и Кот Базилио угрызения испытывали Да и за окорок их... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 20:31, 03/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > Лиса Алиса и Кот Базилио

    лиса Алиса и кот Боб

     
  • 2.38, Онаним, 22:37, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Если они туда заворачивают реально то, что пишут и после ввода СМС-кода честно в... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Онаним, 22:19, 03/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Проблема WordPress не столько в PHP (хотя он, конечно, накладывает свой отпечаток), а в запредельно чрезмерной универсальности, монструозности конструкции, уследить за всеми дырами в которой абсолютно невозможно, и гигантском количестве точек проникновения за счёт всех этих миллионов плагинов  и тем, штампуемых как ширпотреб.
     
     
  • 2.39, тоже Аноним, 23:04, 03/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Это не проблема WP, а те факторы, которые вывели его в лидеры Проблема - коекак... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Онаним, 07:02, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем мне катать аналогичное решение на другой платформе, операционных систем на... весь текст скрыт [показать]
     
     
  • 4.50, тоже Аноним, 12:01, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Например, для строго конкретной задачи - сайт, на который секретарша будет добав... весь текст скрыт [показать]
     
     
  • 5.53, Аноним, 20:31, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Все как всегда -- кто не хочет платить одним специалистам за ковыряние поддержку... весь текст скрыт [показать]
     
     
  • 6.54, тоже Аноним, 21:21, 04/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Это называется "управление рисками". Умножаем затраты на вероятность того, что они окупятся, потом уже решаем. Пока выводы отнюдь не в пользу фреймворков в большинстве случаев (мы же понимаем, что большинство случаев разработки сайтов - типовые?).
     
     
  • 7.62, Анонми, 18:06, 06/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Это называется "управление рисками". Умножаем затраты на вероятность того, что они окупятся,
    > потом уже решаем.

    Это называется "гладко было на бумаге(в учебнике), да забыли про овраги".
    На практике проблемы начинаются с грамотной/реалистичной оценки риска/вероятности.
    Собственной статистики у мелкотни и среднячков нет, т.е. нужно найти, да еще и как-то грамотно сопоставить с собственной ситуацией и требованиями ... в общем, вероятности обычно берутся "средние по больнице", если вообще не от балды.

    > мы же понимаем, что большинство случаев разработки сайтов - типовые

    Да с этим я в общем-то не спорю. Но и типовые разработки требуют минимального сопровождения, а не забивания на годы и последующего неподдельно-возмущенного удивления (вплоть до рвания волос на заднице).

     
  • 3.49, Аноним, 09:47, 04/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Банально можно выкупить плагин и залить обновление с бэкдорами От этого никто... весь текст скрыт [показать]
     
     
  • 4.51, тоже Аноним, 12:03, 04/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Это начало конца.

    Это бла-бла. Если бы проблема была столь апокалиптичной, кто-то уже зарабатывал бы на сертификатах.
    А пока что-то народ не разбежался за них платить, предпочитают лечиться, когда подхватят.

     
  • 1.43, Аноним, 00:46, 04/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А есть сейчас сайты, которые принципиально не используют Javascript?
     
     
  • 2.46, Онаним, 07:04, 04/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > А есть сейчас сайты, которые принципиально не используют Javascript?

    Поставь NoScript и узнаешь. Благо в наше прогрессивное время относительно развитого и кроссбраузерного CSS большинство сайтов прекрасно читаются и без жабоскриптов.

     
  • 1.47, Аноним, 08:23, 04/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Две тысячи это не серьёзно Вон рядом бъют тревогу http www bitlex win 2018 0... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor