The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Ещё в трёх плагинах к WordPress найдены бэкдоры"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от opennews (??) on 29-Дек-17, 11:15 
Следом за инцидентом (https://www.opennet.ru/opennews/art.shtml?num=47772) с выявлением бэкдора в плагине Captcha, в репозитории
WordPress.org по аналогичной причине заблокировано (https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../) ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов.  По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок  без ведома авторов контента.


Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит  изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).

Бэкдор выявлен в плагинах Duplicate Page and Post (https://wordpress.org/plugins/duplicate-page-and-post/) (50 тысяч установок), No Follow All External Links (https://wordpress.org/plugins/nofollow-all-external-links/) (9 тысяч установок) и WP No External Links (https://wordpress.org/plugins/wp-noexternallinks/) (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.

Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным  пользователям WordPress.org.


URL: https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=47826

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +3 +/
Сообщение от Аноним (??) on 29-Дек-17, 11:15 
Полон опасностей похапе-мирок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +23 +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-17, 11:19 
И чем бы отличались мерзавцы, которые подрядились вообще такое делягам писать, если бы оно было на сишарпе или питоне каком?
Очередной "элитарий", не сумевший даже проблему понять.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 29-Дек-17, 11:25 
то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 29-Дек-17, 11:25 
ну приведи пример подобного из Java EE/.NET-мирков. Ты же сам в прошлой новости говорил о PHP/LAMP-[суб]культуре. А я, будучи эмигрантом как раз из подобного мирка, прямо заявляю, что это лишь вершина айcберга.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от vz on 29-Дек-17, 11:30 
барыгам - отрицательная карма
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +3 +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-17, 11:30 
Вас ведь не затруднит для начала привести аналог WP из них?  Вместе с плагинами от более чем одного разработчика? (я не троллю, просто давно выпал из новостей CMS/CMF и так, с жабовыми если и сталкивался, то забыл когда, тем более дотнетовыми)

Понятно, что градус разгильдяйства "при чём" и при выборе языка, и при выборе базовой CMS (уж сколько нормальных людей поуходили из той же жумлы, попытавшись что-то там исправить и напоровшись как раз на асберг).

Но тут критично не разгильдяйство, а злонамерение, как мне кажется.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  –3 +/
Сообщение от Michael Shigorin email(ok) on 29-Дек-17, 11:33 
> то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?

"Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZY

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +2 +/
Сообщение от Аноним (??) on 29-Дек-17, 11:39 
Приведи пример аналога вордпресса (по популярности) в EE/.NET

Причем тут вообще субкультуры и языки. Хром вот вообще на плюсах написан - http://www.opennet.ru/opennews/art.shtml?num=46945 , http://www.opennet.ru/opennews/art.shtml?num=46851 - и что?

Есть продукт позволяет использовать плагины, то кто-нибудь может этим воспользоваться в нехороших целях.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 29-Дек-17, 11:50 
Давай, Мэйсон, я верю в тебя!
Покажи всем, что такое лёгкие в освоении CMS!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Не удивлён"  +2 +/
Сообщение от Никитушкин Андрей email on 29-Дек-17, 11:51 
Бэкдуров среди популярных плагинов довольно много. На мою критику по данному поводу админы wordpres.org ответили блокировкой моего аккаунта - это очень красноречивое свидетельство о том, что они все соучастники!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  –5 +/
Сообщение от лютый жабист__ on 29-Дек-17, 12:01 
>Вас ведь не затруднит для начала привести аналог WP из них?

Про дотнет не скажу, давно ковырял и не проникся, а в жабеЕЕ не нужен никакой "аналог WP", там на высокоуровневом фреймворке например Primefaces "свой WP" делается за несколько дней.

А у Primefaces репутация нормальная и никаких "левых плагинчиков".

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Тоже не удивлён"  +2 +/
Сообщение от Аноним (??) on 29-Дек-17, 12:41 
Если критика была такой же конструктивной и аргументированной, ничего удивительного.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Не удивлён"  +2 +/
Сообщение от Аноним (??) on 29-Дек-17, 12:43 
А ты не пробовал вежливо с людьми общаться? А то хамство и демонстрация ЧСВ без конструктива и патчей обычно не приветствуются.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Тоже не удивлён"  –2 +/
Сообщение от Никитушкин Андрей on 29-Дек-17, 12:44 
> Если критика была такой же конструктивной и аргументированной, ничего удивительного.

А я вовсе не обязан перед вами отчитываться. Мои сервера защищены не на уровне сайта. Мною лишь озвучена статистика на уровне системы безопасности сервера.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 29-Дек-17, 13:01 
> "свой WP" делается за несколько дней.

Нет. Простейший бложик - да, делается. А комбайн с 100500 функций из коробки за несколько дней никак сделается. А если бы было "не нужно", то им бы не пользовалось столько народу, несмотря на то, что у вордпресса внутри.

А высокоуровневых фреймворков на пхп - полно. Symfony так вообще со Spring слизана.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 29-Дек-17, 13:17 
Судя по названиям плагинов, на статических движках такой фигни бы не было.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +3 +/
Сообщение от Аноним (??) on 29-Дек-17, 14:20 
> Судя по названиям плагинов, на статических движках такой фигни бы не было.

Даже не смотря на названия плагинов, при Сталине такой фигни бы не было.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  –1 +/
Сообщение от Аноним (??) on 29-Дек-17, 14:24 
Поэтому жаба и не нужна никому.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Тоже не удивлён"  +3 +/
Сообщение от angra (ok) on 29-Дек-17, 14:30 
> Мною лишь озвучена статистика на уровне системы безопасности сервера.

Я тебя наверное очень удивлю, но "Бэкдуров среди популярных плагинов довольно много" ни разу не статистика, тебя кто-то обманул.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  –1 +/
Сообщение от Аноним (??) on 29-Дек-17, 14:46 
Duplicate Page and Post аааааааа

почти на всех моих сайтах,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Анннм on 29-Дек-17, 17:09 
Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели, а он делает другое. Хотя бы несколько автоматических тестов проводить и выводить куда лезет плагин и что меняет пользователю до установки.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Анннм on 29-Дек-17, 17:29 
>> то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
> "Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZY

Запретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 29-Дек-17, 19:16 
Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Anonim (??) on 29-Дек-17, 20:27 
> Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

В AUR?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +6 +/
Сообщение от Аноним (??) on 29-Дек-17, 20:48 
Трояны в проце? Полон опасностей Asm-мирок. Полон опасностей rm -rf? Опасен shell-мирок. Террористы? Опасен оружия мирок. Пустая голова тролля? Безопасна.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 29-Дек-17, 21:31 
Это тянет на хокку о безысходности! даже на 2 хокку! :)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от KonstantinB (ok) on 29-Дек-17, 21:44 
То, что можно сделать на Java со Spring-ами за несколько дней, за те же несклько дней делается на PHP и Symfony. И код будет очень похож. Если задача простая - вполне можно справиться, да.

Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно собрать адовый комбайн за 30 минут, не умея программировать вообще.

И, конечно же, в любую систему, поддерживающую сторонние плагины, всегда можно запихать вредоносный код. Кто помешает-то? Любые автоматизированные проверки можно обойти. Единственный способ этого избежать - делать по принципу эппловского AppStore, с централизованным ревью кода и цифровыми подписями.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +2 +/
Сообщение от Аноним (??) on 30-Дек-17, 01:41 
Вам и на жопу влеть и елку не уколоть... Комбайн из гуаши ваты и пластилина...
Ну чего хотели того и получили... А в целом под заказ надо конечно делать а не лепить горабтого
У бизнеса всегда есть деньги на разработчиков так что не надо гнать пургу а те кто халявят получат серьезный риск а потом будут доказывать что клиенты сами к конкурентам ушли )
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 01:46 

> Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве
> кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно
> собрать адовый комбайн за 30 минут, не умея программировать вообще.

Итак, правильно ли мы Вас поняли, что популярность вордпресс приобрел среди профанов (то есть не специалистов), которые могут самостоятельно собрать комбаин за 30 минут из 1000 плагинов, но решение получиться сомнительного качества.

В целом я с Вами согласен у любого человека все получиться, но качество... Скажем вот попросить Вас изготовить автомобиль и даже дать вам готовые детали ну там корпус от запорожца не знаю движок от бехи и стекла от ауди и синюю изоленту уверен толк будет и даже оно вполне поедет, но зачем когда на рынке полно людей проф-но делающих все это )

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 01:48 
> Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
> Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели,
> а он делает другое. Хотя бы несколько автоматических тестов проводить и
> выводить куда лезет плагин и что меняет пользователю до установки.

Идея плагинов хороша, но только тогда когда их делает одна фирма. Используйте уже тогда 1С:Витрина

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 30-Дек-17, 04:47 
> а в жабеЕЕ не нужен никакой "аналог WP"

Отличное решение, профессиональный жабист расскажет вам про то что конкуренты не нужны, лучше купите у него слона.

> А у Primefaces репутация нормальная и никаких "левых плагинчиков".

Это вообще что? Что такое вордпресс - каждый второй знает. А про это нечто - в первый раз слышу.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 30-Дек-17, 04:49 
1С это вообще один большой кусок малвари. Проприетарное нечто с диким кодом и полудохлой поддержкой даже за деньги.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 04:56 
> Запретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.

В большинстве юрисдикций есть уголовная ответственность за создание малвари. Этого мало?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от пох on 30-Дек-17, 09:09 
да ничем, просто спроса на такую продукцию нет - влезть в питоновский репо подобным способом можно, но придется либо в подворотне подкарауливать, либо пароли подбирать - нет практики продажи модулей вместе с авторскими правами и названием.

А для готовых расширяемых cms на пихоне может она и есть, но никто не знает и не узнает об их существовании. Ибо ненужно, вордопреса с друпалкой уже все значимые поляны засpали. А 1С почему-то никому не интересен, угадайте, чего это вдруг...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

35. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  –1 +/
Сообщение от барыга on 30-Дек-17, 09:16 
>> Запретить продавать.

проще запретить плагины. Их (те что продают) пишут, если вы не поняли, не за спасибо. Спасибом сыт не будешь.

> В большинстве юрисдикций есть уголовная ответственность за создание малвари.
> Этого мало?

мало - это, "в большинстве юрисдикций" не малварь. Не наносит прямого ущерба ни пользователю, ни его системе, ни его клиентам. Показывают вам иногда интересную и неназойливую рекламу. Данные утекают налево? Так это "обычная бизнес-практика", и за это скажите спасибо не каким-то там барыгам, а одной корпорации бла-бла и другой корпорации бабла.

Я плагин - купил, за нормальные деньги, все честно. Я добавил туда нужный и полезный мне функционал - ну так я тебе ничего и не обещал...

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от барыга on 30-Дек-17, 09:18 
> Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.

бабки, бабки-то - где?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 09:30 
Не только в AUR могут быть бэкдоры. В основную репу разрабы тоже могут добавить много чего.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 10:34 
Просто мирки Java EE/.NET не идут ни в какое сравнение с миром PHP. Вот поэтому и не интересны бекдоровстраивателям.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

39. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 10:51 
> это, "в большинстве юрисдикций" не малварь

За большинство юрисдикций не скажу, но в РФ это 273/2, до 5 лет.

> Данные утекают налево? Так это "обычная бизнес-практика"

272/3 предусматривает ответственность за такую "бизнес-практику".

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от барыга on 30-Дек-17, 12:40 
только в ваших влажных мечтах. В реальности надо доказать нанесенный вам ущерб.
Нет, моральные страдательства и прочие розовые сопли в УК не катят.

> 272/3 предусматривает ответственность за такую "бизнес-практику".

гуглю это расскажите, вот они поржут.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Не удивлён"  +/
Сообщение от Аноним (??) on 30-Дек-17, 13:18 
/do(ː)ɹ/
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

42. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Аноним (??) on 30-Дек-17, 14:09 
> В реальности надо доказать нанесенный вам ущерб.

Не надо, на вторую часть достаточно группы лиц и предварительного сговора. А если ты один, то отделаешься первой, до 4 лет.

> гуглю это расскажите

У гугля всё санкционировано: тот, кто его аналитику в свои сайты встраивает, принимает условия использования (читает ли он их при этом и понимает ли, что сам в результате может понести ответственность за слив лишнего, уже другой вопрос).

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 31-Дек-17, 06:21 
Но ведь проблема не в качестве кода в данном случае.
И кстати аналогичный пример это playstore и каталоги дополнений браузеров. В playstore просто программы с вирусами загружают, а в каталогах дополнений такие же ситуации часто происходят как в этой новости.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

44. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +1 +/
Сообщение от Аноним (??) on 31-Дек-17, 06:24 
А в тп хостинга регулярно сыпятся жалобы что хостинг им сайты на wordpress и php 5.3 взломал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Ещё в трёх плагинах к WordPress найдены бэкдоры"  +/
Сообщение от Уася on 09-Янв-18, 13:05 
Ну так дело наверно в WordPress, а не в похапэ
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor