又有三个WordPress插件被指存在后门

阅读量153895

|评论1

发布时间 : 2017-12-29 12:03:06

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/three-more-wordpress-plugins-found-hiding-a-backdoor/

译文仅供参考,具体内容表达以及含义原文为准。

 

大规模的WordPress插件生态系统开始显示出腐烂的气隙:将老旧弃用的插件卖给新作者,而后者马不停蹄地在原始代码中加了一个后门。

WordPress 安全团队Wordfence发现了这三个后门并已将相关插件从官方WordPress 插件目录中删除。三个带后门的插件情况如下:

插件名称 下载量 带后门的版本 调用 遭删除时间
Duplicate Page and Post 50,000+ v.2.1.0(2017年8月) cloud-wp.org 2017年12月14日
No Follow All External Links 9,000+ V2.1.0(2017年4月) cloud.wpserve.org 2017年12月19日
WP No External Links 30,000+ V4.2.1(2017年7月) w pconnect.org 2017年12月22日

 

后门出自同一人之手

这三个插件中后门的运作方式类似,都是调用一个远程服务器并在受影响站点中插入内容和链接。专家认为后门代码用于在受影响站点上注入隐藏的SEO垃圾(虚假链接),帮助改善其它站点的搜索引擎排名。

Wordfence 专家分析恶意插件的运作方式后认为这三个插件来自同一个人:

l  第一个和第三个插件的后门调用同一个IP地址上托管的两个不同域名。

l  同一家公司 (Orb Online) 付款购买第一个和第二个插件。

l  通过邮件向第二个和第三个插件所有人的购买询价使用了类似的模板。

l  所有插件都是由新建 WordPress.org 用户购买。

l  三个插件中的后门代码类似。

 

此类安全事件变得越来越常见

这并非Wordfence首次发现这类事件:大批量购买老旧WordPress插件随后插入后门,向使用受影响插件的站点中注入SEO垃圾信息。

此前,Wordfence认为购买多个插件并加入后门的是一名英国男子 Mason Soiza。他被指跟多个插件中的多个后门之间存在关联,如Captcha(安装量超过30多万次)、Display Widgets(安装量超过20多万次)和404 to 301(安装量超过7万多次)。

WordPress 安全团队成员White Fir Design指出,这些插件通常会在受感染站点上存在多年时间。例如,三年之后数百个WordPress站点(但可能已遭遗弃)仍然在运行带有类似SEO垃圾信息注入后门的14个插件之一。

本文翻译自bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66