↑ ↓

На заметку Бэкдор в популярном плагине для WordPress

Бэкдор Custom Content Type Manager (CCTM) для WordPress

  1. X-Shar
    Специалисты компании Sucuri обнаружили, что один из популярнейших плагинов для WordPress Custom Content Type Manager (CCTM), установленный более 10 000 раз, содержит бэкдор, благодаря которому злоумышленник может похищать учтенные данные пользователей зараженных сайтов.

    К проведению расследования экспертов Sucuri подтолкнула жалоба одного из клиентов компании, которой заметил, что в системе появился странный файл auto-update.php, которого ранее не было.

    Аналитики выяснили, что в последний год проект CCTM выглядел практически заброшенным, но затем разработка сменила владельца, и плагин тут же обновился до версии 0.9.8.8. Ничего хорошего в работу CCTM новый хозяин, известный как wooranker, не привнес: новая версия содержала лишь вредоносные обновления. Помимо замеченного бдительными пользователями файла auto-update.php, плагин научился самостоятельно скачивать с удаленного сервера дополнительные файлы.

    Также добавился файл CCTM_Communicator.php, который пинговал сервер владельца, сообщая, что в его сети попалась новая жертва. И самое худшее: CCTM перехватывал на зараженном ресурсе логины и пароли (в зашифрованном виде), переправляя их на wordpresscore.com.

    [​IMG]
    Активность нового владельца:

    По мере того, как у wooranker накапливались украденные логины и пароли, он стал пытаться авторизоваться на зараженных сайтах. Это не всегда заканчивалось успехом, так как вход в панель управления не всегда находится по дефолтному адресу. Тогда новый владелец CCTM изменил тактику и добавил плагину функцию редактирования файлов wp-login.php, wp-admin/user-new.php, и wp-admin/user-edit.php.

    После вышеописанных манипуляций, wooranker получил возможность перехватывать данные, включая логины и пароли, до шифрования, а также точно знал, где искать админку. К тому же злоумышленник подстраховался и стал создавать на зараженных ресурсах аккаунт с правами администратора (support / support@wordpresscore.com), к которому мог всегда гарантировано получить доступ.

    Всем администраторам, использующим данный плагин, рекомендуется удалить опасную версию и откатить основные файлы WordPress до стандартных версий. Если Custom Content Type Manager все же необходим для работы сайта, стоит использовать предыдущую, безопасную версию 0.9.8.6.

    Источник:Журнал "Хакер"