| Témaindító hozzászólás: |
| Több ezer WordPress oldal fertőződött meg Az említett PHP alapú ingyenes tartalomkezelő rendszer igen népszerű szerte a világon, ám most számos helyen a hamis antivírus áldozata lett. A kártevő terjesztők egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat... |
| A-Ty válasza Dj Faustus (19:42) hozzászólására | előzmény | privát | 2012.03.10. 20:05 | válasz |
| Illetve nem is az hogy hogyan. A főbb kérdés az, hogy honnét. Mert ha Wp források közül az nagyon rémisztő. Ha ezt nem ellenőrizték, akkor vajon a többit hogyan ellenőrzik? És ha ilyen laza a kontroll, akkor vajon hány szándékosan káros kód található még a WP egyéb telepíthető moduljaiban. ennyire hiszékenyek lennének az emberek? ToolsPack. Milyen szép és hangzatos név. Ez biztos csak valami nagyon jó és trendi lehet. Ha nekem nincs ilyenem, akkor le vagyok maradva.  | |
| Net.Elek válasza Dj Faustus (19:42) hozzászólására | előzmény | privát | 2012.03.10. 20:04 | válasz |
| "ennyire hiszékenyek lennének az emberek?" Ha nem azok lennének, egyik politikai pártot sem választanák meg.  | |
| Dj Faustus válasza Net.Elek (18:40) hozzászólására | előzmény | privát | 2012.03.10. 19:42 | válasz |
| Ez egy kifejezett támadásra kihegyezett kód. Mondjuk az jó kérdés, hogy hogyan sikerült ezt telepíteni 30000 Wordpress-alapú oldalra - ennyire hiszékenyek lennének az emberek? | |
| Net.Elek válasza Dj Faustus (11:52) hozzászólására | előzmény | privát | 2012.03.10. 18:40 | válasz |
| Ha kap valamilyen úton-módon egy "e" nevű GET metódussal küldött URL-paramétert, POST metódussal küldött változót, vagy sütit ($_REQUEST), az abban levő base64-el kódolt értéket dekódolják (base64_decode) és végrehajtják, mint PHP-kódot (eval). NA NEE!!! Külső forrásból, vagy is POST -ból PHP kódot lefuttatja!? Ez kb olyan mint hibás fékkel száguldozni! | |
| A-Ty válasza Dj Faustus (11:52) hozzászólására | előzmény | privát | 2012.03.10. 12:16 | válasz |
| Ok' Értem én, hogy benzin. De mitől megy? Én a drupalhoz a kiegészítőket vagy a drupal.org-ról szerzem be. Oda ellenőrzött kódok kerülnek fel. A stabil és a fejlesztés alatt álló változatok is jól látható módon el vannak különítve. Ha nem akarsz valami nagyon extrát, akkor az alap majdhogy nem megfelel. Egy szónak is száz a vége. A sérülékenység legtöbb esetben a felhasználói figyelmetlenségben rejlik. És ezt ki is használják sokan. A legtöbb weblapépítő minden modult akar de egyszerre. És erre játszottak rá de nagyon. ToolsPack. Milyen szép és hangzatos név. Ez biztos csak valami nagyon jó és trendi lehet. Ha nekem nincs ilyenem, akkor le vagyok maradva. blablablablabla Viszont ha kicsit megfordítjuk a dolgot. A hír is kicsit arra hajaz, hogy lehúzza a WP-t. egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat Márpedig igazából nem a WP, hanem a ToolsPack plugin a sebezhető. A telepített kiegészítőn keresztül sebezhető a WP. | |
| Dj Faustus válasza A-Ty (08:05) hozzászólására | előzmény | privát | 2012.03.10. 11:52 | válasz |
| "Pont most akartam WP alapon összerakni egy kisebb weblapot. Nem teszem. " Azért érdemes utánaolvasni, milyen dolgok együttállása okozza az oldalak "eltérítését": "Many of the blogs compromised in these recent attacks were running outdated WordPress versions, had vulnerable plug-ins installed or had weak administrative passwords susceptible to brute force attacks, said David Dede, a security researcher with website integrity monitoring firm Sucuri Security."Tehát: - elavult Wordpress verzió - gyenge, nyers erővel könnyen feltörhető adminisztratív-jelszó - sérülékenységet tartalmazó kiegészítők Ez utóbbira rá is erősítenek: "Sucuri researchers have also been tracking this scareware distribution campaign and found that a rogue WordPress plug-in called ToolsPack has been installed on many of the compromised blogs."Tehát a kiegészítőben volt a sérülékenység. Még pedig milyen! <?phpMit is csinál a kód? Ha kap valamilyen úton-módon egy "e" nevű GET metódussal küldött URL-paramétert, POST metódussal küldött változót, vagy sütit ($_REQUEST), az abban levő base64-el kódolt értéket dekódolják (base64_decode) és végrehajtják, mint PHP-kódot (eval). Érdemes még megemlíteni, hogy a http://checkWPTools.com/ domain nincs beregisztrálva, az Internet Archive WayBack Machine szerint nem volt weboldal az adott domainen, ha rákeresünk Google-val a sérülékenységet boncolgató oldalakat találunk - szóval nem épp megbízható pluginról van szó. | |
| A-Ty válasza Sting (08:16) hozzászólására | előzmény | privát | 2012.03.10. 09:15 | válasz |
| Ahogy nézem a linked a sebezhetőség három modult érint. Aggregator OpenID File Aggregator a fedeket biztosítja a hírcsatornáknak és ez alapértelmezésben ki van kapcsolva. OpenID is szükségtelen és kikapcsolt az alapértelmezése. A File modul nem része az alaprendszernek. Nélküle is van élet. Illetve a sebezhetőség a 6.21/7.10 és előtti változatokat érinti. Jelenleg a legfrissebb a 6.25/7.12. Így aki odafigyel a rendszere frissen tartására, már nem érintett ebben a sebezhetőségben. | |
| Sting válasza A-Ty (08:05) hozzászólására | előzmény | privát | 2012.03.10. 08:16 | válasz |
| SA-CORE-2012-001 - Drupal core multiple vulnerabilities | |
| A-Ty válasza Net.Elek (18:59) hozzászólására | előzmény | privát | 2012.03.10. 08:05 | válasz |
| Köszi a linket! Pont most akartam WP alapon összerakni egy kisebb weblapot. Nem teszem. Maradok a bevált Drupalnál. Azt úgyis jobban kedvelem.  | |
| Net.Elek | privát | 2012.03.09. 18:59 | válasz |
| Több ezer WordPress oldal fertőződött meg Az említett PHP alapú ingyenes tartalomkezelő rendszer igen népszerű szerte a világon, ám most számos helyen a hamis antivírus áldozata lett. A kártevő terjesztők egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat... | |