Бэкдор для WordPress выглядел как антиспам-плагин - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Бэкдор для WordPress выглядел как антиспам-плагин

Компания Sucuri опубликовала в своем блоге подробный анализ фальшивого плагина для WordPress X-WP-SPAM-SHIELD-PRO.

Опасность для неопытных или невнимательных администраторов заключается в том, что расширение мимикрирует под известный модуль для защиты от спама — WP-SpamShield Anti-Spam. Однако вместо того чтобы избавить сайт от нежелательных рассылок из Facebook, бэкдор прекращает работу имеющихся систем безопасности и дает своим авторам доступ к IP-адресу зараженного сайта, данным о его администраторах, списку установленных дополнений, именам и паролям пользователей. Затем хакеры получают возможность загружать на сайт любые материалы.

Файловая структура X-WP-SPAM-SHIELD-PRO не вызывает подозрений. В корневом каталоге находятся документы с теми же именами, что и в настоящем WP-Spam Shield Anti-Spam. Только проверив коды, можно обнаружить типичные признаки бэкдора.

Схема работы зловреда-хамелеона выглядит так:

  • class-social-facebook.php отключает все установленные прежде плагины. Таким образом, настоящие защитные модули деактивируются, после чего киберпреступники могут выполнять любые действия в админке, не вызывая подозрения у системной защиты;
  • class-term-metabox-formatter.php в связке с class-admin-user-profile.php передает хакерам всю информацию о сайте и администраторах;
  • plugin-header.php добавляет в список администраторов новый аккаунт mw01main;
  • wp-spam-shield-pro.php извещает хакеров об успешной установке зловреда.

После добавления на сайт X-WP-SPAM-SHIELD-PRO мог, не запрашивая разрешения, загружать ZIP-архивы, распаковывать их, а затем удалять. Единственный архив, который скачивал зловредный плагин на проанализированном исследователями сайте, был поврежден, поэтому точной информации о его содержимом нет, хотя по косвенным признаком оно могло быть связано с расширением All In One SEO Pack. Неизвестно, зачем злоумышленникам понадобился плагин для продвижения в поисковых системах; среди основных версий — тестирование нового функционала зловреда и попытка заразить популярное расширение.

Необходимо отметить, что за последнее время произошло уже несколько разоблачений, связанных с забэкдоренными плагинами для WordPress. Весной и летом 2017 года на официальном репозитории WP появилось несколько версий Display Widgets, в которых нашлись хакерские инструменты. Плагин, в частности, использовался злоумышленниками для создания недетектируемых страниц со спам-ссылками. В апреле стало известно о вредоносном плагине WP-Base-SEO, который позволял киберпреступникам выполнять любые действия с сайтом.

Эксперты Sicuri дают пару простых советов о том, как обезопасить собственный веб-ресурс от возможных проблем. В первую очередь, не следует устанавливать расширения из неофициальных репозиториев. Показательна ситуация с X-WP-SPAM-SHIELD-PRO: оригинальный WP-SpamShield Anti-Spam доступен в единственной бесплатной версии. Соответственно, никаких версий Pro на сторонних ресурсах существовать не могло. Во-вторых, администраторам ресурсов нужно следить за обновлениями расширений и новостями о них. В-третьих, советуют исследователи, меньше — значит лучше. Не стоит перегружать сайт инструментами для расширения функциональности, безопаснее установить только по-настоящему необходимые плагины.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus