The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.09.2017 10:59  Выявлена скупка плагинов к WordPress для распространения вредоносного кода

Плагин "Display Widgets", насчитывающий более 200 тысяч установок, окончательно удалён из каталога плагинов к WordPress после серии инцидентов, в результате которых была осуществлена подстановка вредоносного кода в новые выпуски. Указанный код представлял собой бэкдор, позволяющий владельцам плагина контролировать контент на использующих плагин сайтах и выполнять подстановку своих рекламных блоков. Всем пользователям Display Widgets рекомендуется прекратить использование ветки 2.6.x.

Проблемы начались после того, как автор плагина, заинтересованный в развитии коммерческого аналога, продал "Display Widgets" другому разработчику, который обещал продолжить сопровождение плагина. 21 июня, спустя месяц после завершения сделки, новым владельцем было выпущено обновление 2.6.0, в котором была представлена поддержка средств для определения местоположения по базе GeoIP.

На следующий день после релиза к администраторам каталога плагинов WordPress поступила жалоба о нарушении требований к размещаемым в каталоге дополнениям. В частности, было выявлено, что плагин загружает около 38 Мб данных, содержащих информацию о географической привязке IP-адресов от компании Maxmind. После удаления дополнения из каталога, через неделю новый владелец плагина выпустил обновление, в котором устранил проблему путём интеграции GeoIP БД в основную поставку в виде виде файла geolocation.php. Дополнение было восстановлено в каталоге.

После изучения нового кода вновь было найдено нарушение правил - плагин передавал сведения о посетителях на внешний сервер, нарушая конфиденциальность пользователей. 1 июля дополнение было блокировано второй раз, а 6 июля был выпущен релиз 2.6.2 с активной по умолчанию опцией для отключения отправки логов. Дополнение было восстановлено, но 23 июля стали поступать жалобы о появлении спама на сайтах с плагином "Display Widgets", подтверждённые ссылками на кэш Google.

Разбор проблем показал, что источником спама является файл geolocation.php, в котором оказался спрятан бэкдор, позволяющий владельцам плагина публиковать новый контент на сайтах пользователей, а также заменять или удалять содержимое страниц. При этом для зарегистрированных пользователей и администраторов вредоносный код отображал изначальное содержимое, а для остальных пользователей выводил изменённый контент. Вредоносный код использовался для подстановки сторонней рекламы, незаметно для постоянных пользователей и администраторов сайтов. 24 июля дополнение в третий раз было заблокировано.

2 сентября был сформирован релиз 2.6.3, а 7 сентября возобновились жалобы на появление спама на сайтах пользователей плагина. На жалобы пользователей разработчики отвечали советом почистить кэш браузера, установить новую версию "Display Widgets" и почистить содержимое таблицы wp_options. Разработчики также пытались ввести пользователей в заблуждение, указывая в качестве причины появления спама наличие уязвимости, проявляющейся только при включении режима GEO Location в сочетании с применением других дополнений.

В итоге в новой версии также был выявлен изменённый бэкдор и 8 сентября администрация WordPress в четвёртый раз заблокировала "Display Widgets" с предупреждением о наличии критических проблем с безопасностью, а для пользователей было сформировано обновление 2.7.0 в котором произведён откат на кодовую базу 2.0.5, последнюю версию до продажи.

Стефани Велс (Stephanie Wells), изначальный автор дополнения, прокомментировала, что дополнение было продано Мэйсону Сойза (Mason Soiza) за 15 тысяч долларов, который представлял компанию WP Devs, заявляющую о владении 34 плагинами c аудиторией более 10 млн пользователей. Примечательно, что ранее наблюдалась аналогичная ситуация со спамом в плагине "404 to 301", который тоже купил Сойза. Также была договорённость о покупке плагина Finance Calculator, но его автор отменил сделку, узнав об инциденте с "Display Widgets". Об остальных плагинах, купленных Сойза, пока ничего не известно. Из хостов, с которых загружался вредоносный код упоминаются stopspam.io, w-p.io, geoip2.io и maxmind.io.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
  5. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  6. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress, plugin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:04, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –9 +/
    То есть это не исключительно гуглохромовское явление? Вот это наверное неслабый такой удар по мирку анонимус-диванус-экспертус-опеннетусов.
     
     
  • 2.3, llolik (ok), 11:19, 19/09/2017 [^] [ответить]    [к модератору]
  • +7 +/
    > То есть это не исключительно гуглохромовское явление?

    Какое? Продажа разработки единственным разработчиком совершенно левому чуваку, который ничего не обещал?

     
     
  • 3.45, Аноним (-), 23:31, 19/09/2017 [^] [ответить]    [к модератору]
  • +1 +/
    Наоборот же: "разработчику, который обещал...".
    Девушка поверила.
     
     
  • 4.47, llolik (ok), 08:20, 20/09/2017 [^] [ответить]     [к модератору]
  • +1 +/
    Ну, как там в блоге у девушки написано, обещал взять на себя разработку и улучши... весь текст скрыт [показать]
     
  • 4.48, Аноним (-), 11:15, 20/09/2017 [^] [ответить]    [к модератору]  
  • +/
    >Наоборот же: "разработчику, который обещал...".

    "Кто в экономике или политике верит на слово, тот круглый дурак". Ленин В.И.

     
  • 2.12, Аноним (-), 11:56, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Теперь любой скрипткидди знает как хакнуть кучу народа. С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.
     
     
  • 3.17, Аноним (-), 12:42, 19/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.

    Уязвима любая система, _использующая каталоги дополнений/приложений_.

     
  • 3.26, Аноним (-), 14:57, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Репы что ли проверяют? Там даже денег не надо платить. Такимим темпами любой сторонний совт опасен и надо покупать только эпло мелко шапко подобное.
     
     
  • 4.29, Аноним (-), 15:49, 19/09/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    В нормальных дистрибутивах 8212 да Во-первый, майнтейнер и разработчик как п... весь текст скрыт [показать]
     
     
  • 5.38, Аноним (-), 20:29, 19/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Ахаха, открою тебе секрет, мой друг Аноним Мэйнтейнить пакеты в некоммерческих... весь текст скрыт [показать]
     
     
  • 6.57, Аноним (-), 20:28, 21/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Ты это мне, майнтейнеру, рассказываешь?
     
  • 3.39, pavlinux (ok), 20:30, 19/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Теперь любой скрипткидди

    Этому баяну уже 5000 лет, когда плохие покупали известного, чтоб он говорил нужное. (см. Парламент)

     
  • 3.41, Sabakwaka (ok), 20:56, 19/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Теперь любой скрипткидди знает

    Ну, да.
    Берешь USD $150000, покупаешь 10 плагинов по $15000, а там оно само напишется.
    Из уважения к трусам ихой бабушки сам собою возникнет вредоносный код.

     
  • 1.2, A.Stahl (ok), 11:09, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >который также купил Сойза

    Ну так посадите его. Неужели для его действий не найдётся статьи?

     
     
  • 2.4, ЫЫ (?), 11:29, 19/09/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    А вы ведь когда читали текст такого рода, хлопали в ладоши и умилялись опенсорсу... весь текст скрыт [показать]
     
     
  • 3.7, A.Stahl (ok), 11:36, 19/09/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    А никто и не требует никаких гарантий применимости На лицо обычное мошенничеств... весь текст скрыт [показать]
     
  • 3.11, ананим.orig (?), 11:54, 19/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    И к зачем ты этот обязательный фрагмент любой ЕУЛА написал?
    И так понятно что тролль.
     
  • 3.32, fi (ok), 16:46, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    А с чего ты взял что это опенсорс??? там какая лицензия была?? ты видел??
     
  • 2.14, ананим.orig (?), 12:00, 19/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Найдется Мошенничество например Но в основе 8212 разделение труда Программ... весь текст скрыт [показать]
     
  • 2.27, Аноним (-), 14:58, 19/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Странно, что сразу не заблокировали Видимо, случает когда кто-то закачивал бекд... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 11:46, 19/09/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А зачем удалять Вычистить вредоносный код, заблокировать возможность обновления... весь текст скрыт [показать]
     
  • 1.9, Какаянахренразница (ok), 11:46, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ух ты! А мои плагины с парой десятков пользователей никто не хочет купить за 15 тысяч баксиков? Ну хоть за 14,999, а?...
     
     
  • 2.15, A.Stahl (ok), 12:25, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    >,

    Не совсем понимаю как ты хочешь получить третью девятку после запятой. Банки такое умеют?

     
     
  • 3.18, 123 (??), 12:52, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    В фин операциях  до 4-го знака округление обычно.
     
  • 3.19, Аноним (-), 12:55, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    В банковской сфере легко.  Вообще многие варианты полей типа Currency в БД имют размерность 4 знака
     
  • 3.28, Ordu (ok), 15:38, 19/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Это очевидно не запятая, которая разделяет дробную и целую части, а запятая, разделяющая группы разрядов чисто для читаемости.
     
     
  • 4.30, A.Stahl (ok), 16:01, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Группы разрядов разделяются апострофом, а не запятой.
     
     
  • 5.31, ACCA (ok), 16:34, 19/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    LC_NUMERIC с тобой не согласен.
     
  • 5.34, Нанобот (ok), 18:31, 19/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    От региона зависит
     
     
  • 6.49, Аноним (-), 11:18, 20/09/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    А мы что, по-китайски тут пищем, а сайт находится на cn По-русски надо писать,... весь текст скрыт [показать]
     
     
  • 7.54, Anonymoustus (ok), 16:22, 20/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Люто, бешено плюсую.
     
  • 7.58, Какаянахренразница (ok), 07:08, 22/09/2017 [^] [ответить]     [к модератору]  
  • +/
    12384 12387 12390 12373 12540 12289 20013 22269 35486 12391 ... весь текст скрыт [показать]
     
  • 5.37, Ordu (ok), 19:52, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    > Группы разрядов разделяются апострофом, а не запятой.

    Апострофом всякие футы да дюймы обозначают, не?

     
  • 1.10, Аноним (-), 11:49, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Дайте Мэйсону ещё один шанс, код не его, он лишь разместил плагин
     
     
  • 2.13, Аноним (-), 11:56, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    И мопед не его, ага ^_^
     
     
  • 3.33, Аноним (-), 17:31, 19/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Ты откуда такой, красавчег?
     
  • 1.16, Аноним (-), 12:27, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > жалобы о появлении спама на сайтах с плагином "Display Widgets"

    Спам на сайте? Это как?

     
     
  • 2.55, Аноним (-), 17:23, 20/09/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Будем откровенны 95 населения 8212 идиоты Если вам нужны доказательства, п... весь текст скрыт [показать]
     
  • 1.21, Аноним (-), 13:06, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Но дырявый насквозь wordpress который к тому же стучит о себе на сайт авторов же сам по себе вредоносный софт...
     
     
  • 2.35, AntonAlekseevich (ok), 18:52, 19/09/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)
     
     
  • 3.36, Аноним (-), 19:21, 19/09/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Flat-file CMS

    Зокопать.

     
     
  • 4.42, AntonAlekseevich (ok), 21:30, 19/09/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Флэтфайл CMS будет в разы лучше, вместо того чем кормят студентов уровня Профессий СПО.

    Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно и PHP туда приписать, если постараться.) особых проблем с сайтом на этой CMS не наблюдается.

     
     
  • 5.44, Аноним (-), 22:53, 19/09/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    это что за зверь Recommended Tools - Text Editors - Markdown Editors - FTP Clie... весь текст скрыт [показать]
     
     
  • 6.51, AntonAlekseevich (ok), 15:14, 20/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > это что за зверь?

    Кириллизованное название типа. (Английское Flat-File)

    > я всё понимаю: не можешь держаться чтобы не навалить в любой похожей теме свою кучу, но чтобы не было так смешно, ознакомься с предметом

    Как "приятно" это читать, но что предложите взамен?

     
  • 3.43, Аноним (-), 22:49, 19/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)

    ну-ну https://getgrav.org/downloads/plugins

     
     
  • 4.53, AntonAlekseevich (ok), 15:22, 20/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > ну-ну https://getgrav.org/downloads/plugins

    А что? Пусть пока плагинов не так много, но всё же лучше чем ничего.

     
  • 3.50, Аноним (-), 11:46, 20/09/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Ни в коем случае Если у вас извилины зашевелились только от этих инцидентов , ... весь текст скрыт [показать]
     
     
  • 4.52, AntonAlekseevich (ok), 15:20, 20/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Ни в коем случае.

    Не спорю.
    > Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно.

    Если для WP это норма то ладно, окей, "забить и вышвырнуть".
    > Кушайте дальше wordpress, не обляпайтесь.

    На любое предложение может быть отказ и это итак понятно.

     
  • 1.40, Аноним (-), 20:48, 19/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Да чтоб таких "программистов" и "хакеров" мучала всю жизнь страшная бессонница.(когда спать просто жесть как хочется, ты устал и вымотан, но заснуть никогда не получается)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor