Prikaži glavni meni

Sajber kriminalci sakrili backdoor u lažnom WordPress pluginu

Vesti, 02.10.2017, 01:00 AM

Sajber kriminalci su sakrili kod za PHP backoor u izvornom kodu WordPress plugina predstavljajući ga kao "X-WP-SPAM-SHIELD-PRO", upozorili su istraživači iz firme Sucuri. Oni pokušavaju da iskoriste reputaciju WordPress plugina "Wp-SpamShield Anti-Spam", popularnog anti-spam alata za WordPress sajtove.

Korisnike koji su preuzeli X-WP-SPAM-SHIELD-PRO sačekalo je neprijatno iznenađenje u vidu backdoora koji omogućava napadaču da napravi svoj administratorski nalog na sajtu, otprema fajlove na servere žrtve, isključuje sve pluginove itd.

Za zlonamerno ponašanje plugina odgovorni su njegovi fajlovi:

class-social-facebook.php prestavlja alat za zaštitu od spama, ali kod otkriven u njemu šalje napadaču listu pluginova koje koristi žrtva, a može i da isključi sve pluginove. Razlog za isključivanje pluginova je to što napadač želi da onemogući pluginove za zaštitu koji blokiraju funkcije prijavljivanja i koji bi otkrili nedozvoljene pokušaje prijavljivanja;
class-term-metabox-formatter.php šalje napadaču verziju WordPressa;
class-admin-user-profile.php šalje napadaču listu svih WordPress admin korisnika;
plugin-header.php dodaje još jednog admin korisnika pod imenom mw01main;
wp-spam-shield-pro.php pinguje server napadača na mainwall.org, omogućavajući mu da sazna kad je novi korisnik instalirao lažni plugin. Podaci koje ovaj fajl šalje uključuju korisničko ime, lozinku, URL inficiranog sajta, i IP adresu servera.

Poslednji od ovih fajlova sadrži i kod koji omogućava napadaču da otpremi ZIP fajl na sajt žrtve, da ekstrahuje fajlove koje on sadrži i da ih pokrene.

U trenutku kad su pronašli ovaj maliciozni plugin, ZIP fajl je bio oštećen, a stručnjaci misle da je napadač koristio pokvarenu verziju poznatog plugina All In One SEO Pack.

X-WP-SPAM-SHIELD-PRO nikada nije bio u WordPress repozitorijumu, ali je bio dostupan iz drugih izvora.

Kao što je slučaj sa Google Play Store, Apple App Store i drugim zvaničnim prodavnicama, i korisnicima WordPressa se savetuje da instaliraju besplatne pluginove samo iz zvaničnog repozitorijuma, koji je iako daleko od savršenog, ipak najbolje rešenje.