标签: WordPress

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

WordPress 宣布加入 HackerOne 平台:借助白帽力量挖掘漏洞

经历数年的发展,WordPress 凭借着丰富的插件主题和简洁的操作迅速成为全球最受欢迎的博客平台,在全球顶级 1000 万个网站中的占比超过 28%。受欢迎往往也意味着容易成为黑客攻击的目标,为进一步提升平台安全性能,WordPress 近日宣布加入 HackerOne 平台,希望借助白帽子的力量来发掘平台上的漏洞。 HackerOne 是主要面向安全专家的平台,他们能够安全和负责的报告发现的漏洞。研究专家能够根据漏洞的危险程度,来获得各种不同的奖金。事实上 WordPress 公司早在一年前就启动了 BUG 悬赏项目,不过此前主要为私人承办,目前已向 7 名漏洞报告者提供了 3700 美元的奖励。 此外,包括 WordPress、BuddyPress、bbPress、GlotPress、WP-CLI 以及网站都纳入到 HackerOne 项目中,白帽黑客可以使用 SQL 注入、远程代码执行与跨网站脚本等方式对其攻击从而发现 WordPress 旗下产品的漏洞。 稿源:cnBeta,封面源自网络

黑客伪造 WordPress 核心域名、非法窃取 Cookie 数据

据外媒 10 日报道,安全公司 Sucuri 发现黑客利用一系列恶意软件将恶意代码注入合法 JavaScript 文件,伪装 WordPress 核心域名、窃取 cookie 数据及非法收集用户信息。 据悉,黑客通过误植域名( Typosquatting )或劫持 URL 技术制造虚假域名,而该技术通常依赖于用户在网络浏览器中错误输入 URL 。由于伪造网站被设计成一个看似合法的 WordPress 域名,所以代码显示并无异常。 调查显示,该恶意代码的条件语句并不包括搜索引擎抓取工具中用户代理的 cookie 数据,旨在帮助黑客从抓取工具与机器人中筛选出有价值 cookie。据悉,一旦确定数据有效,该脚本就会将其发送至恶意网站( code.wordprssapi [.] com )。此外,黑客除了在 WordPress JavaScript 文件底部注入恶意代码以外,还利用另一个 WordPress 漏洞注入混淆代码、恶意离线 WordPress 网站 。 研究人员表示,目前尚且无法确定恶意网站幕后黑手,而黑客在权限被撤销之前可以伪装用户执行权限内任何操作。在此,有必要提醒网站管理员除审核网站代码外还需仔细检查网站域名以确保不向第三方发送敏感数据(如 cookie 或密码)。 原作者:Chris Brook, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

国际刑警组织查获亚洲逾 9000 台 C&C 服务器,黑客利用 WordPress 插件漏洞展开攻击

据 securityaffairs 报道,今年国际刑警组织查获并关闭了亚洲地区逾 9,000 台指挥与控制( C&C )服务器,其中多数是被黑客利用 WordPress 插件漏洞进行入侵的。 国际刑警组织在 7 家网络安全公司的支持下联合展开行动,包括 Trend Micro、Cyber Defence Institute、British Telecom、Kaspersky Lab、Booz Allen Hamilton、Palo Alto Networks 与 Fortinet。据悉,调查人员发现黑客已攻击部分地方政府机构服务器操作,并用其作为僵尸网络指挥与控制的系统。执法机构在印度尼西亚、马来西亚、缅甸、菲律宾、新加坡、泰国与越南查获 9,000 台 C&C 服务器与数百个受损网站,其中包括政府门户网站。 国际刑警组织网络融合中心的专家整合安全公司提供的情报信息制定出 23 个网络行动报告,其中强调了网络犯罪行为的各种威胁与类型,确定并提议国家政府当即采取行动。此外,专家还发现黑客主要针对金融机构,发动分布式拒绝服务(DDoS )、传播 勒索软件以及散发垃圾邮件 。有趣的是,黑客通常使用 WordPress 插件漏洞入侵多数受损服务器。 目前,国际刑警已确定近 270 个网站在开发应用程序漏洞中感染恶意代码,其中多个政府网站可能包含公民个人信息。此外,他们已确定部分网络钓鱼网站运营商并将实施抓捕行动。 IGCI 执行董事 Noboru Nakatani 表示, 该项行动是一个很好的例子,通过网络安全公司与国家机构之间良好的合作,展示了如何有效地打击网络犯罪。国际刑警组织对于此类犯罪行为表示,一律予以严惩。 原作者:Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Sathurbot 发动分布式 WordPress 密码暴力破解

据外媒近日报道,安全专家监测到一种针对 WordPress 安装程序的新型威胁:攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。 Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明,Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接,点击该链接可令系统当即加载 Sathurbot DLL,致使受害者机器完全受外界控制。此外,Sathurbot 还执行黑帽 SEO 技术,主要通过搜索引擎提供恶意链接。 据悉,每当成功感染目标网站,恶意软件就会将结果报告至 C&C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C&C 服务器取得联系。机器人将收集到的域名发送至 C&C 服务器,攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名,可以有效避免遭受拦截。安全专家表示,攻击者还倾向将目标锁定在运行 CMS 的其他网站,如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。 机器人通过集成 libtorrent 库实现恶意软件传播,但并非所有机器人都执行此功能,其中一些仅作为Web爬虫或用于网站爆破。近期,安全专家在对日志与系统文件进行检查后推测,Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态,迄今已感染逾 20,000 台计算机。 原作者:Pierluigi Paganini , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress 4.7.3 修复六处安全问题,但 CSRF 漏洞仍未修复

WordPress 已经发布 WordPress 4.7.3 版本修复了六个安全问题,其中包括三个跨站点脚本( XSS )漏洞,但 2016 年 7 月发现的 CSRF 漏洞仍未修复。 WordPress 4.7.3 发行版修复的漏洞列表: 1、通过媒体文件元数据( media file metadata )的 XSS 跨站脚本攻击。 2、控制字符可以欺骗重定向网址校验。 3、管理员使用插件删除功能可能会删除非目标文件。 4、YouTube embeds 视频网址引起 XSS 跨站脚本攻击。 5、分类术语名称(引起的 XSS 跨站脚本攻击。 6、跨站请求伪造(CSRF)导致的滥用服务器资源。 但 2016 年 7 月发现的一个 CSRF 漏洞仍未修复,该漏洞允许攻击者窃取 FTP 和 SSH 登录凭据。安全专家 Cengiz Han Sahin 解释说这个漏洞可能有很大的影响,但是漏洞利用的概率很低。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

流行 WordPress 插件再现严重 SQL 注入漏洞

一个安装量超过 100 万的流行 WordPress 插件被发现存在严重 SQL 注入漏洞,允许攻击者从网站的数据库窃取密码和密钥等敏感数据。该插件叫 NextGEN Gallery,开发者已经修复了该漏洞,释出了 v2.1.79 版,安装该插件的网站应该尽可能快的更新。网站如果允许用户递交帖子,并且激活了 NextGEN Basic TagCloud Gallery 选项,允许访问者通过标签导航图库,攻击者可以修改 URL 参数,插入 SQL 查询指令,加载恶意链接时插件将会执行指令。该漏洞是因为对 URL 参数不正确的输入处理导致的,这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。 稿源:solidot,有删改,封面来源于网络

WordPress REST API 零日漏洞后续调查

此前,本站报道过 WordPress 修复了 REST API 引起的零日漏洞。近日,知道创宇 404 实验室使用 ZoomEye 网络空间探测引擎发现,受该漏洞影响的网站仍然有 15361 个,这些网站分别归属于 82 个国家与地区,其中 Top20 国家与地区分布如下图: 2 月 13 日,404 实验室进一步探测这些网站的运行情况,发现共有 9338 个网站已经留下了黑客的痕迹。随后我们统计了黑客组织留下的黑客代号,发现不同的黑客代号共出现了 85 种。其中 Top20 黑客组织代号如下表: 上图由自 404 实验室提供 上表说明的是此时依旧活跃在互联网上的针对该漏洞的黑客组织的排名,接着我们启用了比较擅长的黑客追踪技能,挖掘总结如下(部分): 1、代号为 w4l3XzY3 的黑客是事件早期被报道出来的黑客之一,此人曾经于 2014 年针对 Drupal 网站进行过相同性质的入侵行为。该黑客一直在入侵网站挂黑页,是个惯犯…… 2.代号为 SA3D HaCk3D 与 MuhmadEmad 的黑客入侵后留下的页面是相似的,均含地域性的政治诉求。不禁联想到本次受影响的站点又以美国居多…… 3.代号为 Shade 与 Sxtz 的黑客在留下的信息中互相问候,疑似同一组织成员…… 4.代号为 GeNErAL HaCkEr ,GeNErAL 与 RxR HaCkEr 的黑客同样疑似出自同一组织,该组织名为 Team Emirates…… 5.代号为 GHoST61 的黑客留下的信息为土耳其语,翻译出来大意是土耳其无处不在,疑似是出自土耳其的黑客组织…… …… 对于此次事件,我们还会在将来持续跟进。 本文由 HackerNews.cc 编辑,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

数以千计的 WordPress 网站未修复零日漏洞遭黑客入侵

上周,本站曾报道过 WordPress 修复了 REST API 引起的零日漏洞。据 Sucuri 最新报道,漏洞被披露后,黑客开始尝试扫描、利用漏洞,并成功入侵了众多 WordPress 4.7.0 和 4.7.1 版本网站。 安全公司 Sucuri 监测到的 WAF 网络被攻击趋势 该漏洞于 1 月 26 日修复并于 2 月 3 号披露详情,漏洞可导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。漏洞被披露后不到 48 小时,众多漏洞情报平台开始转载分享。默认情况下 WordPress 启用了自动更新功能,但由于部分原因,某些网站没有更新升级,这给了犯罪分子的可乘之机。 安全公司 Sucuri 表示通过观察蜜罐和网络,已检测到四个不同的黑客组织对该 WordPress 漏洞进行大规模扫描、利用。其中最成功的是“ w4l3XzY3 ”,根据 Sucuri 周一的 Google 搜索结果,w4l3XzY3 已经成功入侵了 66000 个博客页面,现在搜索结果已上升到 100000 +。 w4l3XzY3 组织正在使用的 IP 地址: 176.9.36.102 185.116.213.71 134.213.54.163 2a00:1a48:7808:104:9b57:dda6:eb3c:61e1 第二个黑客组织被称为 Cyb3r-Shia ,目前已成功入侵了 500 + 页面,正在使用的 IP 地址:37.237.192.22。此外另外两个黑客组织 NeT.Defacer 和 Hawleri_hacker 共用一个 IP 地址:144.217.81.160 ,也都各自入侵了 500 + 页面。 特别是还没有来得及更新的网站,管理员应及时检查日志文件,并阻止来自这些 IP 地址的探测,避免被博客被攻击者恶意利用。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress 发布更新“秘密”修复 REST API 插件零日漏洞

上周四,WordPress 发布了一个安全更新,修复了三个安全漏洞但没有透露详细信息。但是如果您还尚未更新,请立即更新到 4.7.2 版本。因为除了三个安全漏洞之外,还修复了一个由 WordPress REST API 引起的零日漏洞。该漏洞可以导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。国内漏洞情报平台 Seebug.org 也发表了相关漏洞复现情况。 漏洞影响版本: WordPress 4.7.0 WordPress 4.7.1 WordPress 是一个以 PHP 和 MySQL 为平台的自由开源的博客软件和内容管理系统,至少有 1800 万个网站使用该系统。在 4.7.0 版本后,REST API 插件的功能被集成到 WordPress 中,由此也引发了一些安全性问题。 该漏洞于 1 月 22 日被安全公司 Sucuri 研究员 Marc-Alexandre Montpas 发现并告知 WordPress 。经过 WordPress 紧急修复于 1 月 26 日(上周四)发布安全更新。昨天,Wordpress 官方才向公众透露事件详情。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。