The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксирована массовая атака на сайты с необновлённым движком WordPress

22.09.2018 11:30

В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему.

В ходе атаки в JavaScript-файлы c расширением .js, в php-файлы с темами и плагинами WordPress, а также в записи из таблицы wp_posts в БД WordPress осуществляется подстановка вредоносной вставки. Код подставляется как в открытом виде, так и форме вызова "eval(String.fromCharCode(....))" с хаотичным набором цифр. При выполнении данного блока на выходе выдаётся код загрузки скрипта (ad.js, main.js, stat.js или mp3.js) с сайтов ads.voipnewswire.net, examhome.net, cdn.allyouwant.online, uustoughtonma.org, ejyoklygase.tk или mp3menu.org. Всем пользователям WordPress рекомендуется убедиться, что движок сайта и установленные плагины обновлены до самой свежей версии.

Зафиксировано несколько проявлений вредоносной активности, наиболее заметными из которых является перенаправление пришедшего на сайт пользователя на сторонние мошеннические ресурсы, например, на страницы фиктивных сообщений о выявлении вируса от технической поддержки, пытающиеся вынудить пользователя установить троянскую программу, позвонить по телефону или указать параметры своей учётной записи.

В том числе на мошеннических страницах используются манипуляции с курсором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.



  1. Главная ссылка к новости (https://blog.malwarebytes.com/...)
  2. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  3. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  4. OpenNews: В WordPress молча устранена уязвимость, позволяющая изменить любую страницу
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49318-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:01, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    приехали
     
     
  • 2.2, iCat (ok), 12:17, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что - "приехали"?
    Извечная гонка пушек и брони...
     
  • 2.10, Аноним (-), 12:39, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Вордпресс всегда был дырявым гoвном. Почти как адобе флеш.
     
     
  • 3.20, правдоруб (?), 13:41, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Хоть и дырявый,но один из лучших cms систем. Joomla так ещё более дырявая и неудобная.
     
     
  • 4.42, Аноним (42), 18:29, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Капельку ты не щупал, я так понимаю...
     
     
  • 5.64, th3m3 (ok), 13:39, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про Drupalgeddon напомнить? Тысячи сайтов были взломаны. Wordpress хоть ещё автоматически обновляться умеет, ну или частично вручную - в админке на кнопку нажать. А Друпал? Это тот ещё гемор, да и не факт, что после обновления чего не отвалится. Всегда была интрига.

    Жить стало лучше и веселее, когда ушли с этих чудес говнокодинга на php и вообще c php.

     
     
  • 6.67, Аноним (-), 13:47, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дрюпал тоже донный, страшная весчь...
     
  • 4.65, th3m3 (ok), 13:41, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Орнул с тебя. Архитектура wordpress, прям самая лучшая, ага) Это тот случай, когда можно любое говно вывести в топы, если есть деньги на маркетинг. Пипл схавает, потом будет больно, но это уже их проблемы)
     
  • 3.62, th3m3 (ok), 13:36, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше бы они деньги не в пиар вложили, а в своё чудо г0внокодинга.
     
  • 2.70, Аноним (70), 14:21, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, приехали. Реклама malwarebytes на opennetе.
     

  • 1.3, A.Stahl (ok), 12:19, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +22 +/
    >WordPress

    Это происходит регулярно и на новость не катит. С тем же успехом можно сообщать о наступлении очередного календарного месяца.

     
  • 1.4, Аноним (4), 12:22, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > движок сайта и установленные плагины обновлены до самой свежей версии

    Доооо... Сайт, сделанный на коленке студентом за еду N лет назад, бухша исправно оплачивает хостинг, продажник по отработанной схеме загружает свежий прайс - кому оно надо, что-то там обновлять?

     
     
  • 2.9, Аноним (9), 12:37, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пусть хостинг обновляет. За что ему бухгалтер 100р платит?
     
  • 2.12, Аноним (-), 12:44, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ты и такой сайт не сделаешь, пойдешь на юкозе регаться.
     
     
  • 3.48, Аноним (48), 19:31, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    я пытался там зарегаться, но не смог отгадать капчу.
    пришлось наляпать на вротпрессе. Извините, как умел.
     

  • 1.6, Аноним (-), 12:27, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Разве хостинг на должен следить чтобы у пользователей была версия wordpress без уязвимостей? И справлять все уязвимости
     
     
  • 2.8, Аноним (8), 12:31, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    А также править код всех кастомизаций и плагинов, ну и кофе варить тоже хостинг обязан :)
     

  • 1.7, Tank (??), 12:29, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Не зря я пилил свой движок для блогов. Теперь и продаю почти готовое, только для каждого клиента слегка переделываю, и мамкины кулхацкеры не страшны.
     
     
  • 2.15, Онвоним (?), 13:05, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну это эффект Неуловимого Джо, сам понимаешь. Хотя с другой стороны, если у тебя и кодовая база меньше - то и вероятность подобных дыр меньше.
     
  • 2.17, robot228 (?), 13:08, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1
    у самих корп. сайт на собственном двигле. Лично просил подчинённых не использовать всякое дерьмо и пилить с 0.
     
  • 2.23, ыы (?), 14:00, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    "
    - А я сделал свой автомобиль!!!
    - Круто! У него как на феррари сиденья?
    - Нет. У меня был когда то велосипед от него кой-чего осталось...
    - Ну,  у него как на Ламборгини аэродинамика?
    - Нет. Лобового стекла вообще нет...
    - Ну, у него там хромо-ванадиевый композит на ребрах жесткости?
    - Неа, я там веревочкой подвязал и фанеркой щели заделал...
    - Нахрен ты вообще это делал?
    - Ну, у меня есть собственный автомобиль...
    "
     
     
  • 3.52, Annoynymous (ok), 23:47, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то умеет делать автомобили, кто-то нет.
     
  • 2.38, pull request (?), 16:11, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пилить свой движок это компромис. От мамкиных хакиров, которые только в готовый сплоит тыкать могут- защитит лучше. Но если вдруг кто то задастся целью взломать именно твой сайт- имхо, найдут и посерьезнее дыры, чем в wp.
     
     
  • 3.74, Аноним (74), 06:24, 24/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А если не найдут?
     
     
  • 4.75, dr.rulez (ok), 07:26, 24/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А сколько монсеньор заплатит за найденную дыру?
     
  • 2.79, dq0s4y71 (ok), 11:48, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это называется security through obscurity. Типа, изобрету свой собственный велосипед и никто его устройство не угадает. Но практика показывает, что в конечном счёте это плохая стратегия. Угадывают. Был бы спрос.
     

  • 1.16, robot228 (?), 13:08, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все сайте на Ruby/Python: 0 уязвимостей, быстрый старт. Накой эта дырявая пыха нужна? Ещё и WP-помоечка.
    Хр, тьфу.
     
     
  • 2.21, правдоруб (?), 13:43, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    0 уязвимостей,т.к. не популярны. А  вообще какие есть cms на руби и питоне?
     
     
  • 3.44, Аноним (44), 18:33, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Руби хз, на бидоне - Зопа, Плон, ещё там какая-то синяя рыба, все на джанге. Это если чесно-спортивно, без гугленья.
     
     
  • 4.45, Аноним (44), 18:44, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хы, зопа (Ballerus ballerus) это и есть синий лещ (blue bream). Давно смотрел...
     
  • 3.54, SubGun (ok), 00:37, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На руби довольно интересно смотрится вражеский camaleon cms и наш, родной apiq.io. А так же есть очень много проектов, которые делали, но бросали. Вообще тема cms на руби непопулярна. Считается, что разработчик сам себе напишет.
     
  • 2.22, Аноним (22), 13:46, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Cgi не безопасен по умолчанию . о каком нуле вы говорите
     
     
  • 3.29, robot228 (?), 14:32, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну давай поведай что небезопасно? Может пыха?
    Мои сайты крутятся уже не один год, не один раз попадали под ддос, но взлому никогда не подвергались.
     
     
  • 4.30, Аноним (30), 14:35, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мой hello world на apsx что крутится в IIS тоже никто не взломал за 10 лет что крутится у меня на локалхосте. привет.
     
  • 3.80, dq0s4y71 (ok), 11:51, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Жизнь абсолютно не безопасна. 100% из тех, кто жили, померли!
     
  • 2.24, ыы (?), 14:02, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "30% из десяти миллионов крупнейших сайтов" (с)

    а что на вашем ненужном крутится в таких масштабах?


     
  • 2.40, pull request (?), 17:16, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в пыхе, пейтоне или руби. Дело в том, кто и как их использует. В пыхе уровень вхождения ниже, язык популярнее, г**но-кодеров больше. Из за этого создается впечатление, что виноват ЯП, но это не так.
     
     
  • 3.46, Аноним (44), 18:49, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не совсем. Там, где другой язык ругнётся и вылетит (при сравнении тёплого с мягким), пых несмотря ни на что выдаст какой-то результат.
     
     
  • 4.47, Аноним (47), 19:29, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Какие кодеры, такой и результат.
     
  • 4.53, Аноним (53), 23:47, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раз ты такой умный, включи и заставь их исправить все.

    display_errors = On
    error_reporting = E_ALL | E_STRICT
    display_startup_errors = On
    track_errors = On

     
  • 4.68, Аноним (68), 13:51, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >при сравнении тёплого с мягким

    и в python и в php динамическая типизация допускающее сравнение теплого с мягким.
    в php хотя бы есть статическая типизация для параметров функций, методов и их результата.

     
     
  • 5.72, Аноним84701 (ok), 17:22, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>при сравнении тёплого с мягким
    > и в python и в php динамическая типизация допускающее сравнение теплого с мягким.

    Внимане, сюрприз:
    [CODE]
    cat test.c && gcc -Wall -Wextra test.c -o tst && ./tst    
    #include <stdio.h>
    #include <stdbool.h>
    int main(void) {
       printf("Hello, World!" + 'a' - 97 + true);
       return 0;
    }
    ello, World!

    % python -c "print('Hello, World!' + 'a' - 97 + true)"
    Traceback (most recent call last):
      File "<string>", line 1, in <module>
    TypeError: unsupported operand type(s) for -: 'str' and 'int'

    % python -c "print('97' + True)"
    Traceback (most recent call last):
      File "<string>", line 1, in <module>
    TypeError: cannot concatenate 'str' and 'bool' objects
    [/CODE]
    Слабая типизация != динамическая типизация
    Сильная типизация != статическая типизация

    Ваш КО

     
     
  • 6.81, dq0s4y71 (ok), 12:27, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Strongly typed and weakly typed are terms that have no widely agreed-upon te... большой текст свёрнут, показать
     
     
  • 7.82, Аноним84701 (ok), 14:28, 25/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "Strongly typed" and "weakly typed" are terms that have no widely agreed-upon

    Формально - да, неформально оно давно используется.
    Подразумевается (при более-менее грамотном употреблении) под этим что-то типа "strong type checking" и соотв. "weak type checking". Естественно, детали спорны (но это много где так - та же "классика" типа "0 ∈ ℕ или все же 0 ∉ ℕ?").  
    Возможно, лучше было переводить как "(не)строгая проверка типа", а не банальной калькой.

    > https://stackoverflow.com/a/430414/8238971

    Предпочтитаю таки учебные заведения в качестве источников ;)

    https://cseweb.ucsd.edu/~wgg/CSE131B/oberon2.htm
    > static typing with strong type checking

    http://www.ocp.inf.ethz.ch/wiki/Documentation/Oberon ()
    > Active Oberon Language
    > strong-typed

    https://www.cs.colorado.edu/~bec/courses/csci3155-s12/reading/TypeChecking.pdf
    [CODE]
    Definition: Strong type checking prevents all type errors from happening. The
    checking may happen at compile time or at run time or partly at compile time and
    partly at run time.
    Definition: A strongly-typed language is one that uses strong type checking.
    Definition: Weak type checking does not prevent type errors from happening.
    Definition: A weakly-typed language is one that uses weak type checking.
    [/CODE]

     
     
  • 8.85, dq0s4y71 (ok), 11:44, 26/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, чел, который это пишет, тоже не хрeн с горы Вот его страничка на сайте учеб... текст свёрнут, показать
     
  • 2.49, Vitaliy Blats (?), 20:07, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Все сайте на Ruby/Python: 0 уязвимостей, быстрый старт. Накой эта дырявая пыха нужна? Ещё и WP-помоечка.
    > Хр, тьфу.

    Во-первых, пиши хоть на Баше
    Во-вторых, быстрый старт обеспечивает не язык, а веб-сервер и реализация запуска языка
    В-третьих, на данный момент существуют десятки тысяч плагинов на любой вкус. Статистика, видеоплееры, интернет-коммерция, да все короче. Такое разнообразие существует потому что пых легкий, а ЦМС простая и с более-менее вменяемым API. Когда у твоего Руби\Питона будет столько же пользователей, инстансов и плагинов - он будет таким же дырявым как и пыха\WP ;)

     
  • 2.55, SubGun (ok), 00:44, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это пыха дырявая? А питон с руби что лучше? А ничего, что у них всех одна огромная дыра - гребаный nodejs.
    Все обленились. Сейчас какой веб проект, на каком языке не скачай, хоть на go, там будет этот сраный nodejs. Что там внутри, какое качество кода? Все плевать. Зато удобно, само понакачает 100500 зависимостей, на пару Гб, и сайт сразу станет красивым.
     
     
  • 3.66, Аноним (-), 13:45, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Даже ПыхаПе прогеры осознают что пыха дырявая.

    P.S. ПыхаПе прогер со стажем 9 лет.

     
  • 3.69, Аноним (68), 13:56, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "nodejs дыра в php, python, ruby"
    Вы видимо забыли принять выписанные психиатром таблетки.
     

  • 1.19, Аноним (-), 13:18, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В том числе на мошеннических страницах используются манипуляции к кусором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.

    Хромопроблемы.

     
     
  • 2.56, Kuromi (ok), 01:56, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не только, в ФФ тоже есть.
    Выключается так - dom.pointer-lock.enabled;false
    full-screen-api.pointer-lock.enabled;false (на всякий случай).

    Вообще контроль над курсором в Вэбе...кто до этого мог додуматься? А потом зато разработчики обсуждают не опасно ли реализовывать WebMIDI, дескать там хз какие команды можно передать, это угроза, а манипуляции курсосром - неет.

     

  • 1.25, Аноним (25), 14:21, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Grav, php flat cms, медуза выкатывает и вовсе статику. Дудось сколько хочешь.
     
     
  • 2.27, Q2W (?), 14:27, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Щас же досят канал, а не логику сайта.
    Совсем мамкины хацкеры разленились.
     
     
  • 3.31, Аноним (31), 14:59, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дудось КлоудФлар там много канала.
     
     
  • 4.33, Аноним (33), 15:29, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    КлоудФлейр злой, там непробиваемая капча.
     

  • 1.32, Дмитрий (??), 15:08, 22/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ВротПрессеров не жалко, да и вообще все CMS'ников, сами выбрали бутылку, надо было заказывать индивидуальный проект, или следить за актуальным и регулярно обновлять.
     
     
  • 2.34, Аноним (34), 15:32, 22/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Покажи как надо, подай пример всем!
     

  • 1.73, prografika (?), 17:37, 23/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если нормальная защита стоит и настроено все нормально, то все будет Ок. Хотя обращаться по чистке уже начали, волна идет.
     
  • 1.76, ALex_hha (ok), 20:21, 24/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было и вот опять ( с )
     
  • 1.86, Аноним (86), 01:50, 27/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно и не обновляться если более жестко настроить права на файлы и папки, а за одно бэкапиться через сервис https://go.backupland.com там делается проверка на вирусы и на почту мне приходят очеты какие файлы изменились, какие удалились, какие новые появились в итоге если и хакнут, я вовремя об этом узнаю, а во вторых могу из бэкапа восстановить все файлы.

    Но по умному надо обновляться и всё равно делать бэкапы:)

     
  • 1.87, Онаним (?), 02:13, 30/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А разве не непрерывно происходят массовые атаки на дырявые вродпрессы?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру