• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Бэкдор в популярном плагине для WordPress

На заметку Бэкдор в популярном плагине для WordPress

Специалисты компании Sucuri обнаружили, что один из популярнейших плагинов для WordPress Custom Content Type Manager (CCTM), установленный более 10 000 раз, содержит бэкдор, благодаря которому злоумышленник может похищать учтенные данные пользователей зараженных сайтов.

К проведению расследования экспертов Sucuri подтолкнула жалоба одного из клиентов компании, которой заметил, что в системе появился странный файл auto-update.php, которого ранее не было.

Аналитики выяснили, что в последний год проект CCTM выглядел практически заброшенным, но затем разработка сменила владельца, и плагин тут же обновился до версии 0.9.8.8. Ничего хорошего в работу CCTM новый хозяин, известный как wooranker, не привнес: новая версия содержала лишь вредоносные обновления. Помимо замеченного бдительными пользователями файла auto-update.php, плагин научился самостоятельно скачивать с удаленного сервера дополнительные файлы.

Также добавился файл CCTM_Communicator.php, который пинговал сервер владельца, сообщая, что в его сети попалась новая жертва. И самое худшее: CCTM перехватывал на зараженном ресурсе логины и пароли (в зашифрованном виде), переправляя их на wordpresscore.com.

CCTM.png

Активность нового владельца:

По мере того, как у wooranker накапливались украденные логины и пароли, он стал пытаться авторизоваться на зараженных сайтах. Это не всегда заканчивалось успехом, так как вход в панель управления не всегда находится по дефолтному адресу. Тогда новый владелец CCTM изменил тактику и добавил плагину функцию редактирования файлов wp-login.php, wp-admin/user-new.php, и wp-admin/user-edit.php.

После вышеописанных манипуляций, wooranker получил возможность перехватывать данные, включая логины и пароли, до шифрования, а также точно знал, где искать админку. К тому же злоумышленник подстраховался и стал создавать на зараженных ресурсах аккаунт с правами администратора (support / [email protected]), к которому мог всегда гарантировано получить доступ.

Всем администраторам, использующим данный плагин, рекомендуется удалить опасную версию и откатить основные файлы WordPress до стандартных версий. Если Custom Content Type Manager все же необходим для работы сайта, стоит использовать предыдущую, безопасную версию 0.9.8.6.

Источник:Журнал "Хакер"
Автор
X-Shar
Просмотры
784
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ