WordPress插件中被曝存在恶意后门

一个安装量超过20万的WordPress插件中被曝存在后门

在过去的一段时间里,一个名为Display Widgets的WordPress插件被曝存在恶意后门。

后门代码在Display Widgets 2.6.1版本(6月30日发布)和2.6.3版本(9月2日发布)中存在。

http://WordPress.org官方团队已经关注该问题并且从官方的WordPress插件仓库中移除了这一存在后门的插件。当它被删除时,该恶意插件的安装量已经超过了20万,我们虽然无法确定有多少用户已经更新到存在后门的版本,但可想而知,影响范围还是很大的。

令人震惊的是,在正式移除该插件前,已经多次发生过类似的问题。

安全客小百科

Display Widgets是一个小工具任意显示插件,这个小工具安全增强插件,可以让网站的小工具在任意位置显示,操作便捷。

Display Widgets插件在今年5月份卖给新的开发商

Strategy11的Stephanie Wells开发了该插件,但在其将重点转移到插件的高级版本开发之后,她决定将开源版本卖给一位新的开发人员,这名开发者有更多的精力去维护插件,服务于用户群体。

新的开发者在购买该插件一个月后,于6月21日发布了v2.6.0版本。

第一次下架

一天之后,SEO顾问David Law和一个名为Display Widget SEO Plus的竞争插件的作者向http://WordPress.org小组发送了一封电子邮件,告知Display Widgets2.6.0版本没有遵守WordPress插件规则,该插件会从第三方服务器下载超过38M的代码。据调查显示,这38MB代码包含Display Widgets 2.6.0在网站上记录流量的跟踪功能。代码功能包含收集用户IP地址,user-agent信息,收集domain,以及用户正在查看的页面等数据。该插件会将此信息发送到第三方服务器。

其他用户也发现了这种行为,并通过插件的http://WordPress.org支持论坛报告了这个问题。

遵循WordPress的插件发布规则,http://WordPress.org小组第二天从WordPress插件仓库中将该插件下线。

第二次下架

一周之后,在7月1日,插件的新作者设法将该插件上线并发布新版本v2.6.1。该版本在插件中集成了一个38MB大小的文件(geolocation.php),以绕过http://WordPress.org的插件审核规则,插件不再从第三方服务器下载代码。

持续关注该插件的人,就该插件的问题又一次联系到了http://WordPress.org的工作人员。这一次,他报告说,该插件现在具有恶意后门,允许插件的作者访问到远端的站点添加新的页面或文章。并且仍然存在记录用户流量的恶意功能。

一天后,该插件再一次在WordPress插件仓库中移除。

第三次下架

插件连续两次下架后,作者仍然不气馁,存在侥幸心理再一次将该插件上传至官方仓库。根据插件更新日志,新作者在7月6日WordPress插件仓库中发布了2.6.2版本。几天后,插件似乎已经停止了所有的恶意行为。不幸的是,恶意行为并没有结束。

7月23日,一个名为Calvin Ngan的用户向WordPress官方工作人员提出了投诉,指责该插件创建了很多不可检测的垃圾链接。

就像是前两次下架的原因一样,Ngan表示他最终发现在geolocation.php文件中存在恶意行为,该文件由插件的新开发者在2.6.1版本中添加。分析人员发现,该版本插件会在网站中创建新的页面或文章

这些页面和博客文章并没有出现在后端管理面板中。

此外,该插件还会从登录用户(通常是站点管理员)中隐藏这些垃圾页面。只有已登出的用户(普通网站访问者)才显示这些新页面。要创建这些秘密帖子,该插件联系了一个远程域名,从其中检索应该在页面中插入的内容。

Wordfence已经跟踪到该插件会链接至一下域名,这些域名全都指向至52.173.202.113:

stopspam.io registered July 2, 2017

w-p.io registered July 11, 2017

geoip2.io registered July 24, 2017

maxmind.io registered July 24, 2017

在Ngan报告一天之后,WordPress官方团队第三次从官方网站上移除了Display Widgets插件。

第四次下架

第三次下架之后,作者仍然没有放弃,在9月2日之后作者将2.6.3版本的插件上传至WordPress的官方插件仓库。而且这个版本也是恶意的,因为在9月7日,另一个用户再次抱怨该插件插会在他的网站中插入垃圾链接。

在插件的支持主题中发表的两个回复中,两个插件官方账号试图淡化该事件,声称他们的网站被黑客入侵,因为当用户将geolocation.php代码与其他插件相结合时,他们的网站将会被利用。

在插件的支持主题中发表的两个回复中,两个插件官方账号试图淡化该事件,声称他们的网站被黑客入侵,因为当用户将geolocation.php代码与其他插件相结合时,他们的网站将会被恶意利用。

Hi,

The other admin here. Unfortunately the addition of the GEO Location made the software vulnerable to a exploit if used in conjunction with other popular plugins.

The latest update fixed and sanitised the vulnerability. A simple empty of the cache & clearing of the wp_options table (if affected) should remove that post.

Again i apologise. But this should fix it. We estimate only around 100 or so sites to be comprimised.

Thanks

DW

将该插件从官方仓库中删除是极好的

该插件在9月8日再次从http://WordPress.org插件仓库中第四次被删除。这一次,下架似乎是永久的。http://WordPress.org的工作人员似乎已经接管了该插件,并且发布了2.7.0版本,该版本包含与版本2.0.5(插件最后一个干净的版本)完全相同的代码,然后再发售给新用户。该插件不再从http://WordPress.org官方网站上提供,这意味着它不能新安装,但旧版本可以在网站后台升级为不存在后门的版本。

购买该插件的公司的主营业务就是收购各种旧插件

由CEO Mark Maunder领导的Wordfence团队也投入了一些时间来追踪该后门攻击背后的详情。Maunder表示,他把插件的新买家追踪到一个名为WP Devs的服务商。由于该公司的网站在其主页上表示,他们提供一种服务,收购旧的和被遗弃的插件,目前他们已经拥有34个插件。

据Maunder的调查显示,WP Devs团队似乎由两人组成,一个来自美国,一个有可能来自于俄罗斯。Maunder与WP Devs的以为成员联系,其表示他们之前花了15000刀购买了该插件。之后将其以两万刀的价格转售给了加利福尼亚州的一家公司,并签署了保密协议。

在撰写本文时,WP Devs的发言人所述的真实性尚不得而知。Maunder还指出,无论谁在四个Display Widget恶意版本中有意插入了后门代码,并不是偶然的情况下有人从另一个项目中复制了恶意代码。

他分析2.6.3版本(最后一个恶意版本)的代码,版本更新还包括一个后门代码中的bug修复,这以为着插件的作者知道他们在做什么。

后记

Wordfence CEO要求WordPress社区与WordPress的工作人员就这一最近的事件进行和解,虽然在一个插件中四次发现了恶意行为。Maunder表示,许多论坛版主和插件库维护者都是志愿者。请不要粗暴地对他们进行判断,通常来说,他们做的还是不错的,保持着世界上最受欢迎的CMS的存储库和论坛系统正常运行。

另一方面,White Fir Design和David Law并不这样认为。David Law强调,由于他被WordPress官方人员劝告,他撤回了他的一份分析报告,理由是“不要对支持论坛的开发者做没有根据的恶意推测”。

White Fir Design的团队表示:“这种情况的发生充分说明WordPress在插件审核方面存在问题,就拿这次的情况来说还是要加大针对插件内容的审核力度,避免日后再次发生同类情况。”

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容