Как-то совсем не по новогоднему, но всё же проблема назрела, так что будьте в курсе, друзья... Похоже что к трендовым ныне установкам майнеров на сайт, добавился ещё один кейс - покупка обычного, более-менее популярного плагина для популярной CMS c последующим встраиванием в него бекдора или какого-то другого потенциально проблемного кода. Треьего дня, в Wordpress были найдены ещё (это в дополнение к Captcha) три плагина, содержащих в себе бекдоры:
- Duplicate Page and Post
- No Follow All External Links
- WP No External Links
Принцип работы бекдоров похож - в код встраивается адрес, с которого, при определённых сочетаниях юзерагента и url сайта, отдаётся код, выполняющийся на сайте жертвы. При этом, каждый новый посетитель, зарегистрированный пользователь, администратор или поисковый бот могут получить совершенно разный код, выполняющий разные действия. На данный момент, известно о случаях простановки скрытых ссылок на сайтах и сборе статистики на них.
Занятно в данном случае то, что все три плагина были куплены, и только после покупки, с очередным обновлением получили вредоносный код. Исследование показало, что "виновник торжества", во всех этих случаях скорее всего один и тот же - платежи при покупке плагинов были сделаны с иденичных реквизитов, соединения бекдорами выполняются на один и тот же сервер, во всех случаях, в ситуации принимает участие некая компания Orb Online.
Плагины, там где они ещё используются, рекомендуется удалить, из репозитория Wordpress они так же были удалены. Подробнее о том, какой код встраивается, к какому IP идут соединения, что grep'ать для того что бы увидеть, заражён ли сайт вашего клиента, можно прочитать по ссылке ниже:
https://goo.gl/cJXZ7o#wordpress #security
