The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Массовый взлом сайтов, работающих под управлением WordPress

11.05.2010 21:27

В сети отмечается всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress. С другой стороны число пораженных сайтов не так велико, чтобы можно было утверждать о наличии в коде неизвестной неисправленной уязвимости.

В качестве предположений, рассматриваются варианты уязвимости в каком-то популярном, но нестандартном плагине или целенаправленный взлом на основе перехваченных троянским ПО паролей. Примечательно еще и то, что все взломанные сайты, размещались на общем хостинге нескольких крупных американских хостинг-провайдеров, ни одного взлома установок Wordpress на собственном сервере зафиксировано не было.

После взлома в код footer.php интегрируется специально подготовленная php-вставка, выводящая JavaScript-блок, нацеленный на установку вредоносного ПО на машину пользователя при открытии сайта в необновленных версиях web-браузеров Internet Explorer и Firefox. Добавляемый в WordPress вредоносный код имеет защиту от фиксации через технологию Google Safe Browsing и при запросе поисковых ботов Google и Yahoo выдает немодифицированный вариант страницы. Просканировать свой сайт на предмет наличия троянской вставки можно через сервис sucuri.net.

  1. Главная ссылка к новости (http://www.h-online.com/open/n...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/26553-php
Ключевые слова: php, wordpress, security, web
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Andrew Kolchoogin (?), 23:04, 11/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    SSL для логина в администраторскую панель, видать, ниасилил хостер...
     
     
     
    Часть нити удалена модератором

  • 3.6, pavlinux (ok), 23:41, 11/05/2010 [ответить]  
  • +3 +/
    PHP убъёт планету.
     
     
  • 4.9, Аноним (-), 00:43, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    скорее дураки. они ухитряются облажаться на любом языке программирования.
     
     
  • 5.11, аноним (?), 04:05, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    До "любого" они не доходят, оседают на PHP.
     
     
  • 6.15, Аноним (-), 08:43, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а на каком языке сам пыхэпэ пишется?
     
     
  • 7.19, Anonymousapiens (ok), 10:04, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а на каком языке сам пыхэпэ пишется?

    На сях.

     
     
  • 8.40, Аноним (-), 14:38, 13/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а сколько ошибок в самом пыхэпэ ... текст свёрнут, показать
     
  • 6.16, goodvin (ok), 08:47, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    PHP, PHP...
    На нем больше быдла, в этом согласен, но при чем здесь язык вообще? Точно так же можно облажаться на чем угодно.
     
     
  • 7.21, Tav (ok), 10:24, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Уже обсуждали здесь проблемы PHP:
    https://www.opennet.ru/openforum/vsluhforumID3/63997.html#3
     
  • 2.24, charon (ok), 10:49, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    для SSL на своём Вордпрессе надо покупать выделенный айпи, что для многих личных сайтов просто глупо. Так что не надо.
     
     
  • 3.34, filosofem (ok), 15:03, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Написано про SSL на админку хостинга. Для этого не надо выделенных IP.
     
     
  • 4.35, charon (ok), 15:38, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?
     
     
  • 5.36, filosofem (ok), 18:15, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?

    Это не мое предложение и вообще не предложение, а предположение, причем достаточно обоснованное предположение, судя по характеру вживления кода.
    И кстати зная пароль никакого "взлома" осуществлять не надо. И если вы думаете, что пароль на админку можно увидеть просто просмотром http трафика, вы опять ошибаетесь.

     
     
  • 6.37, charon (ok), 18:30, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?
    >
    >Это не мое предложение и вообще не предложение, а предположение, причем достаточно
    >обоснованное предположение, судя по характеру вживления кода.

    Не вижу никакого обоснования. Сам не сталкивался со случаями увода пароля на вордпресс через админку хостинга.

    >И кстати зная пароль никакого "взлома" осуществлять не надо. И если вы
    >думаете, что пароль на админку можно увидеть просто просмотром http трафика,
    >вы опять ошибаетесь.

    Я просмотрел код страницы авторизации вордпресса, и пароль там передаётся запросом POST. Что помешает просмотреть его простым сниффанием трафика?

     
     
  • 7.38, filosofem (ok), 19:47, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Не вижу никакого обоснования. Сам не сталкивался со случаями увода пароля на вордпресс через админку хостинга.

    Да не нужен пароль к вордпресу как таковой, чтобы файл footer.php пропатчить. 100500 способов сделать это. Конечно учитывая нижесказанное могли и так действовать, но тогда в логах должны были наследить и об этом наверняка написали бы.

    >Я просмотрел код страницы авторизации вордпресса, и пароль там передаётся запросом POST. Что помешает просмотреть его простым сниффанием трафика?

    Ну с таким пренебрежением к безопасности удивительно, что люди вообще этим вордпресом пользуются и совсем не удивительно, что их ломают. Оно наверно сказочное решето.

     

  • 1.8, serg (??), 00:22, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    тем кто еще не обновился думаю пора задуматься...
     
     
  • 2.25, charon (ok), 10:50, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >тем кто еще не обновился думаю пора задуматься...

    о чём задуматься? Вы прочитали часть новости, где говорится, что взломали даже последний Вордпресс?

     
     
  • 3.32, zero (??), 14:18, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    если покопаться старых версий полно, и обновиться все же не мешает.
    достаточно вспомнить массовую истерию когда все кричали про аврору...
    Народ довольно бодренько обновил браузеры до ИЕ8 или пересел на огнелиса и пр.

    Немножко воплей не повредит.

     

  • 1.12, ZigmunD (??), 07:24, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мои сайты чисты ^_^
     
  • 1.13, Mark Silinio (ok), 08:11, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    слишком много сомнений и неуверенности в одной новости
     
  • 1.14, Комбинатор (?), 08:25, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А мне по барабану, я Джумлу использую.
     
     
  • 2.28, Michael Shigorin (ok), 11:36, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сидит Джо на пороховой бочке, читает газету -- там про массовые взрывы пороховых бочек.  Забеспокоился.  А за бруствером сидит Джек на бочке с нитроглицерином и смеётся -- мол, мне по барабану...

    PS: для Джеков -- без наполнителя, как в динамите, нитроглицерин достаточно нестабилен, чтобы взрываться от малейших или даже без видимых причин -- брат Нобеля так и погиб, и не один танкер тоже.  Ну, опасней пороха.

    PPS: если всё-таки не доходит --
    http://secunia.com/advisories/search/?search=joomla
    http://www2.packetstormsecurity.org/cgi-bin/search/search.cgi?searchvalue=joo
    (ну и хоть mod_security прикручивайте, где возможно)

     

  • 1.17, netc (ok), 09:07, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    меня поражает когда человек на вопрос на чем ты будешь писать всегда отвечает одно и тоже ;( "на php а чё ..."

    работал я на заводе и вот начальник всего АСУ кроме php походу ни че не знал и явно пропагандировал быдло .net

    отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложениях писанных на заводе

    так что php - это зло, при одном только упоминании об использовании php меня берет в дрожь

    вообще php - это прошлый век, ИМХО

     
     
  • 2.20, Anonymousapiens (ok), 10:08, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Любой из ныне широко используемых языков - прошлый век. Чисто по времени своего происхождения.
     
  • 2.26, Имя (?), 11:02, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > работал я на заводе и вот начальник всего АСУ кроме php походу ни че не знал и явно пропагандировал быдло .net

    тыг .net это же основная платформа для программ для Windows ..

    (вспоминается прям таки реклама -- "летайте самолётами аэрофлот")

    все остальные (ну большенство) языки и их runtime-среды -- по сути этоже порты из unix, и к Windows они относяться а бы как...

    # p.s.:
    тут можно былобы вспомнить ещё про Delphi, но вродебы на windows он умер... или нет?

     
     
  • 3.27, Имя (?), 11:08, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ># p.s.:
    >тут можно былобы вспомнить ещё про Delphi, но вродебы на windows он
    >умер... или нет?

    # можно былобы вспомнить и про C/C++ (в наборе нструментов MS_Visual_Studio) -- но вродебы Microsoft его пропагондирует теперь как язык для написания низкоуровневых native-компонентов для .NET
    (написал native-dll ==> подключай её к своему .NET-коду... :-) )

    # можно былобы вспомнить и другие компиляторы C/C++ и их компоненты (например mignw + gtk/qt) ,  ... но тут опять вспоминаем про порты....

     
  • 2.33, Geol (??), 14:24, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >на php а чё

    В самом деле, что?

    >и явно пропагандировал быдло .net

    А почему собственно .net - быдло?

    >отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложения

    Вы не находите, что это можно сделать на любом языке?

    >при одном только упоминании об использовании php меня берет в дрожь

    Вот это уже уже достаточно серьёзно. Вы не обращались к врачам?

    >работал я на заводе

    Выгнали за дрожь?

     
     
  • 3.39, netc (ok), 12:28, 13/05/2010 [^] [^^] [^^^] [ответить]  
  • +/

    >>и явно пропагандировал быдло .net
    >
    >А почему собственно .net - быдло?
    >

    потому, что лично я воспринимаю .net - как "замануха" для дальнейших изысканий microsoft
    и потому, что многие из моих знакомых, кто используют и восхваляют этот framework - напрочь забывают о его цели и сути.

    >>отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложения
    >
    >Вы не находите, что это можно сделать на любом языке?

    нахожу


    >>при одном только упоминании об использовании php меня берет в дрожь
    >
    >Вот это уже уже достаточно серьёзно. Вы не обращались к врачам?

    они меня не поймут ;)

    >>работал я на заводе
    >
    >Выгнали за дрожь?

    нет. сам ушел

     

  • 1.18, Терминус (?), 09:12, 12/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >После взлома в код footer.php интегрируется
    >специально подготовленная php-вставка

    Сделал его read-only. Кому прислать мой
    новый патч?

     
     
  • 2.29, Имени нету (?), 13:03, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Там наверняка есть и header.php, его наверно тоже стоит в патч добавить, а так же любые классы которые мало мальски имеют отношение к генерации html для итоговой страницы.
     
  • 2.30, Frank (??), 13:04, 12/05/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) А он что, был rw? Вам патчить нужно не файл, а что-то другое, ближе к стулу...
    2) ЕМНИП, если файл недоступен для записи, WP позволяет занести изменения в БД и брать страничку оттуда, положив на этот ваш ro.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру