Aireen Jun 21 2013 at 12:33

Троян Troj/JSRedir-LK и уязвимость WordPress

2 min

9.1K

WordPress*Information Security*

From sandbox

-2

Comments 11

UFO landed and left these words here

Aireen Jun 21 2013 at 12:59

Начать, закончить и в середине еще пару раз вставить, для надежности. :)

DarkByte Jun 21 2013 at 12:55

обнаружена уязвимость, позволяющая удаленному пользователю внедрить и выполнить произвольный PHP код

Опять:

if( isset($_GET['super_secret_var']) ) eval( $_GET['super_secret_var'] );

Aireen Jun 21 2013 at 13:11

Цитирую из статьи:

Приложение неправильно ограничивает доступ к макросам включения PHP кода «mfunc» и «mclude».… Для успешной эксплуатации уязвимости требуется, чтобы константа «W3TC_DYNAMIC_SECURITY» была определена, а также, чтобы атакующий имел привилегии для редактирования публикаций, страниц или комментариев, использующих макросы «mfunc» и «mclude» с данной константой.

DarkByte Jun 21 2013 at 13:20

Получается, что если комментарии не отключены, включены динамические снипперы и стоит один из выше упомянутых плагинов, то выполнять произвольный код может любой пользователь, следующим комментарием:

<!--mfunc eval( ... ); --><!--/mfunc-->

allex Jun 21 2013 at 13:03

Осмелюсь порекомендовать плагин WordPress File Monitor Plus, который периодически проверяет, не изменились ли контрольные суммы файлов. По-моему, удобнее сравнивать файлы с их предыдущими версиями, чем с WordPress.org, чтобы не отвлекаться на изменения, сделанные самостоятельно. Правда, если проверять слишком часто — возрастает нагрузка на диск, провайдер может обидеться.

Aireen Jun 21 2013 at 13:27

Спасибо! Полезное, будем знать.

shanker Jun 21 2013 at 14:55

Статья интересная, но есть одно замечение

Пока искала дыру, через которую проник вирус

Тема уязвимости не раскрыта. Какая именно уязвимость была использована? Чем это подтверждается? Что показывают логи запросов к веб-серверу?

Aireen Jun 21 2013 at 17:18

Если честно, такой задачи и не было. :) К сожалению, я не могу со стопроцентной достоверностью утверждать, что знаю причину произошедшего в данном конкретном случае. Могу лишь предположить, что хранившиеся (о горе мне и владельцу сайта) в TK пароли были… хмм… найдены и использованы для заражения сайтов. Косвенным образом это подтверждают логи, где видно, что накануне того дня, когда сайты попали в блэклист, с аккаунта администратора были перезаписаны файлы header и footer. Если я правильно трактую логи, конечно. (На нужную дату доступна информация только в ftp_log,)

shanker Jun 24 2013 at 16:25

Т.е. удалось найти странные действия с некоего IP в логах, верно? Производили ли поиск этого IP во всех оставшихся логах? Это бы помогло выяснить другие действия взломщика.

Aireen Jun 24 2013 at 21:39

Не совсем так. К сожалению, архивация логов была отключена, и когда я кинулась смотреть, что там, информация о нужном дне была только в логе ftp_log. А там да, видно, что с некоего IP примерно в одно и то же время был произведен ряд манипуляций.