The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Спустя три месяца с момента обнаружения уязвимости динамика поражения блогов WordPress сохраняется

03.11.2011 21:00

Несмотря на то, что с момента обнаружения уязвимости в Timthumb, популярном дополнении к WordPress, прошло три месяца, исследование компании Avast показало, что темп заражения уязвимых сайтов вредоносным ПО продолжает оставаться на высоком уровне. В сентябре было поражено около 2500 сайтов, через которые злоумышленники пытались эксплуатировать клиентские машины с целью внедрения вредоносного ПО, используемого для рассылки спама, участия в DDoS-атаках и совершения других неподконтрольных пользователю действий. В октябре темп заражения сохранился на прежнем уровне, что свидетельствует о том, что многие пользователи блогов совершенно не заботятся о безопасности и не следят за появлением критических обновлений.

После эксплуатации уязвимости в дополнении Timthumb, поставляемом в комплекте с некоторыми визуальными темами и используемом для изменения размера фотографий, для поражения машин клиентов устанавливается стандартный набор Windows-эксплоитов Black Hole. Поражение сайта можно определить по появлению подозрительного кода в JavaScript-файлах, например, в ./wp-content/w3tc/min/a12ed303.925433.js или ./wp-includes/js/l10n.js. Black Hole включает в себя около десяти разных эксплоитов, половина из которых направленны на поражение Java-плагина. В случае наличия у посетителя необновленной версии одного из эксплуатируемых компонентов, на машину скрыто устанавливалось троянское ПО. Для активации вредоносного ПО не требуется выполнение каких-либо действий, достаточно было просто открыть в браузере страницу.

  1. Главная ссылка к новости (https://blog.avast.com/2011/10...)
  2. OpenNews: Массовое поражение интернет-магазинов на базе osCommerce и блогов WordPress
  3. OpenNews: Массовый взлом сайтов, работающих под управлением WordPress
  4. OpenNews: Несколько обслуживающих WordPress.com серверов подверглись взлому
  5. OpenNews: В трёх популярных плагинах к WordPress обнаружен троянский код
  6. OpenNews: 14.7% из миллиона самых популярных сайтов работают под управлением WordPress
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/32219-wordpress
Ключевые слова: wordpress, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bsd (??), 21:53, 03/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ./wp-includes/js/l10n.js входит в поставку

    Имеется в виду, что он модифицирован и код выглядит как

    https://blog.avast.com/wp-content/uploads/2011/10/Redirect.png

     
  • 1.2, Avator (ok), 22:11, 03/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно, уязвимости каких версий Java используются?
    Если у кого есть информация, поделитесь ссылочкой, пожалуйста.
     
     
  • 2.4, artem.stecenko (ok), 01:38, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это Вы вообще к чему?
    Причем тут Java?
     
     
  • 3.5, aaa (??), 02:11, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вроде бы очки большие а читаеш плохо...
    "...Black Hole включает в себя около десяти разных эксплоитов, половина из которых направленны на поражение Java-плагина..."
     
  • 2.9, Аноним (-), 02:59, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всех версий.
    Я "запускал" баннеры в на любой из последних версий и на одной бородатой.
    Уверен, именно благодаря этим эксплойтам, в последней опере появился пункт "Включить плагины только по запросу".
    Теперь висит элемент, на который надо щелкнуть, чтобы тот начал работать.
    Я на обоих сайтах, где нужны плагины, включил их в исключения.
    Браузер стал жрать еще меньше оперативки, чем раньше.
     

  • 1.3, artem.stecenko (ok), 01:37, 04/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну есть же MaxSite CMS, Блоголёт, и т.д. и т.п.
    Зачем использовать многолетдырявый WordPress?
     
     
  • 2.7, aaa (??), 02:16, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну есть же MaxSite CMS, Блоголёт, и т.д. и т.п.

    А в них нет дыр? Если знания позволяют, то проще свой движок быстро накидать... Это всего строчек 20 на пыхе...


     
     
  • 3.15, Аноним (-), 15:59, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А в них нет дыр? Если знания позволяют, то проще свой движок
    > быстро накидать... Это всего строчек 20 на пыхе...

    А где гарантия что там дыр не будет? И вообще, дыра в стороннем аддоне а не вордпрессе. Под ваше самопальное двигло аддонов просто не будет. Кто бы сомневался, что гильотина надежно и эффективно лечит головную боль?!

     
  • 2.8, Аноним (-), 02:44, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Перефразируя классика - есть два типа CMS: дырявые, и которые никто не использует.
     
  • 2.14, Аноним (-), 15:57, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем использовать многолетдырявый WordPress?

    Для начала, дырка не в вордпрессе, а в побочном аддоне. Сам вордпресс сто лет как никто не ломал (я даже вспомнить не могу - есть ли критичные дыры).

    Кстати и браузеры ломают через эксплойты, "половина из которых направленны на поражение Java-плагина" - тоже через аддон, только оракловый :)))

    Итого: нефиг юзать довески откуда попало, а если юзаете - обновляйтесь вовремя.

     

  • 1.10, Аноним (-), 08:52, 04/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Справедливости ради, надо отметить, что уязвимость не в самом в WordPress'е, а в его плагине. Это, кстати, характерно для многих CMS. Ради интереса проверил на http://web.nvd.nist.gov/view/vuln/search последние 20 уязвимостей для самым популярных (wordpress, joomla, drupal). Большинство дыр - в плагинах, дополнительных модулях и темах оформления.
     
     
  • 2.12, anonim (?), 10:23, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если указал сколько плагинов обсмотрел, то укажи и сколько из них плагиноуязвимые. А то неинформативное сообщение твоё.
     
     
  • 3.13, Аноним (-), 11:56, 04/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем понял слово "плагиноуязвимые", но попробую подробнее

    По запросу "WordPress" (http://web.nvd.nist.gov/view/vuln/search-results?query=wordpress&search_type=) из последних 20 уязвимостей - 16 в темах оформления, 2 в плагинах и только 1 в самом вордпрессе (ещё одна вообще левая, видимо там поиск лажает).
    По запросу "Joomla" - все 20 результатов относятся к дополнительным компонентам.
    Дальше искать было лень.

    Конечно, глубоких исследований я не проводил и подробной статистикой не располагаю, но тенденцию вроде и так видно. Т.е. я не говорю, что эти CMS-ки такие надежные и защищенные - их тоже люди пишут. Но всё-таки к самим движкам требования в плане безопасности предъявляются более высокие, чем ко всяким дополнениям, которые пишут все кому не лень и они как раз чаще всего и становятся причиной взлома (ваш К.О.)

     

  • 1.11, AlexAT (ok), 09:59, 04/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Динамика сохраняется просто потому, что каждый хомяк счел себя достаточно крутым, чтобы самому поддерживать блог. Вот и всё.
     
  • 1.16, Georges (ok), 17:36, 04/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    timthumb это такой плагин, который делает так, чтобы все картинки ни в коем случае не отдавались статикой  -  только через скрипт, да ещё с ресайзом на лету.
    Причём компоненты тем также любят авторесайзить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2023 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру