Взлом WordPress при помощи сайта Pastebin

Взлом WordPress при помощи сайта Pastebin

 
Известный копипаст-сайт Pastebin, созданный десять лет назад, чтобы программисты могли делиться исходным кодом, недавно был использовать киберпреступниками для атаки на миллионы пользователей.

Взлом сайтов с целью размещения на них вредоносных программ является типичным приемом хакеров, и теперь они пытаются скомпрометировать огромное количество пользователей разом. Злоумышленники стали использовать Pastebin для взлома сайтов на WordPress.

Хакеры эксплуатируют слабое место в старых версиях RevSlider – распространенного плагина для WordPress. Плагин поставляет в комплекте с темами для сайтов, поэтому многие владельцы сайтов даже не подозревают о его наличии.

Чтобы воспользоваться уязвимостью, злоумышленники ищут плагин RevSlider на сайтах-жертвах, и, обнаружив его, за счет уязвимости в Revslider пытаются загрузить на сайт зловредный бэкдор.

Строго говоря, киберпреступники используют Pastebin по назначению, то есть для того чтобы делиться фрагментами кода. Единственный подвох в том, что код вредоносный и применяется для осуществления взлома непосредственно с сайта Pastebin.

Был обнаружен фрагмент кода, внедряющий содержимое закодированной при помощи Base64 переменной $temp в файл ядра WordPress под названием wp-links-opml.php. Часть кода скачивалась с легитимного сайта Pastebin.com и зависела от использования такого параметра, как wp_nonce_once, маскирующего факт обращения к файлу с Pastebin.

Параметр wp_nonce_once, обычно применяемый для защиты от неожиданных или дублирующихся запросов, также затрудняет блокирование вредоносного кода и одновременно придает гибкость бэкдору. А значит, бэкдор можно заставить скачать и исполнить любой фрагмент кода, размещенный на Pastebin — даже тот, который не существовал в момент внедрения бэкдора. Нужно лишь направить запрос через файл wp-links-opml.php.

Пока неясно, насколько широко распространился злокозненный бэкдор, но его воздействие представляет немалую опасность, так как на сайте Pastebin 1.5 миллиона активных пользовательских учетных записей.

Pastebin, зародившийся в 2002 году, первоначально создавался как открытый интернет-форум, где разработчики могли бы делиться программным кодом. Однако сайт постепенно завоевал популярность у широкого спектра хакеров, в связи с чем стало невероятно трудно отслеживать нелегальную активность на сайте. Многие группы хакеров делятся данными, похищенными у знаменитых компаний, через данный сервис. Кроме того, некоторые файлы с Pastebin, содержавшие зашифрованные адреса и закодированный посредством base64 вредоносный двоичный код, использовались в процессе атак.

51 комментариев
  1. Алекс
    21 января 2015 в 7:34

    К названию статьи нужно было добавить «хакеру на заметку»))) О сервисе ничего не слышал. Сама статья для понимания не так проста. Я понял, что нужно проверить плагин RevSlider на уязвимость. Не такой распространённый плагин RevSlider.

    • 22 января 2015 в 2:15

      Да я вообще такой плагин на блогах не использую и вообще впервые о нем слышу. значит мне можно не опасаться взлома?

      • Алекс
        22 января 2015 в 7:23

        Этот плагин для слайдера. Если у Вас слайдера нет на сайте, можете не опасаться взлома своего сайта.

        • lex
          20 февраля 2015 в 17:57

          Понятно что нет тела, нет дела. Нет плагина, нет взлома. Если уязвимость известна то в следущих версиях её закроют.

    • Татьяна
      22 января 2015 в 11:14

      А у меня статья вызвала опасения и неуверенность вообще за всю деятельность в Интернете: создаёшь сайт , блог с такими трудами, а какие-то хакеры могут в секунду всё разрушить. И спросить не с кого.

      • lex
        20 февраля 2015 в 17:58

        Для проверки уязвимостей плагинов для вордпрес используется программа wpscan, для джумлы joomscan. Скачиваете, ставите проги и проверяете свои сайты.

  2. 21 января 2015 в 10:58

    Лишний раз подтверждается простая истина — если используешь плагины и примочки сторонних разработчиков, а не от официального разработчика, вероятность подцепить какую-нибудь «радость» очень велика. И это касается не только WordPress. Народ любит использовать всякие примочки неизвестного происхождения.

    • Lalla78
      21 января 2015 в 11:31

      Просто многие предлагают плагины, которые помогают сделать ту или иную задачу реальной, но к сожалению платить за это приходится слишком дорого.

      Так как любой плагин, кстати даже идущий в комплекте с самим вордпрессом может стать проблемой. Уязвимости можно обнаружить и в самом ворд прессе, разве нет?

      • Алекс
        22 января 2015 в 7:17

        Лала, здесь комплекс проблем. Выявляются со временем новые уязвимости, делается обновление. Но обновлять придётся движок, обновлять плагины и даже тему. Некоторые плагины могут некорректно работать с обновлённым движком, из-за чего нечасто люди его обновляют.

      • lex
        22 февраля 2015 в 16:28

        В комплекте при установке вордпреса всего пара плагинов идёт. Они идут неподключёными, их можно подключить можно оставить в выключеном состоянии. Защищёный сайт никто не станет ломать. Это слишком затратно. Только по заказу.

    • admin
      21 января 2015 в 22:37

      Тут дело интереснее, плагин то платный 18$, как бы должно быть все ок, да и спросить есть с кого!

      • Алекс
        22 января 2015 в 7:13

        «спросить есть с кого» — с кого спросить? И что спросить? Майкрософт за утерю данных по его вине официально выплачивает за ущерб то ли один, то ли три доллара. Этот пункт есть в лицензионном соглашении. Потерпевшему от такой суммы легче не будет.

      • Lalla78
        24 января 2015 в 11:10

        Ничего себе, даже за деньги и получается, что он не идеален. Видимо, у меня не правильное представление о платных продуктах. Думала, что они должны быть более защищены.

        • 24 января 2015 в 15:41

          Lalla78, идеального ничего нет, но платный продукт отличается от бесплатного. Разработчик платного продукта несет ответственность. И вы можете эту ответственность востребовать, доказав, что понесли ущерб в размере … от ошибок продукта. Другой вопрос как это сделать. Бесплатный продукт прикрыт уведомлениями о рисках — вы соглашаетесь с тем, что используете продукт на свой страх и риск, КАК ОН ЕСТЬ.

          • Алекс
            24 января 2015 в 17:51

            «Разработчик платного продукта несет ответственность. И вы можете эту ответственность востребовать, доказав, что понесли ущерб в размере».
            Откуда такие илюзии?! Разработчик платного продукта не компенсирует Ваш ущерб полностью. Я писал выше о компенсации от Майкрософт.
            И не любой платный продукт компенсирует Вам что-то. Большинство платных продуктов ничего не гарантируют. Так же используется программа «как есть».

          • 24 января 2015 в 17:57

            Алекс, приведенные примеры не совсем равнозначны. Майкрософт сделал компенсацию по своему почину. Поэтому он и определил такой размер компенсации. Компенсация ущерба может быть произведена по предъявления иска, и тогда там фигурируют совершенно другие суммы. В 2000-х годах Майкрософту был предъявлен иск на 900 млн дол. от антимонопольного комитета Евросоюза.
            Но от частного лица сделать это сложнее, если не было судебного прецедента.

          • Алекс
            24 января 2015 в 20:32

            Предъявлять можно хоть сколько исков. Иски должны быть оплачены.
            По «судебным прецедентам». Вы знаете, почему требуется «прецедент»? Потому что в Майкрософт зарегистрирован в США и обязан следовать законам США. А в США судопроизводство базируется на судебном прецеденте. В России и странах Европы судопроизводство не базируется на «преценденте».

    • Татьяна
      22 января 2015 в 11:22

      Народ использует всякие незнакомые вещи по незнанию, а не потому что любит. вот и попадается на всякие неизвестно для чего нужные плагины.

    • lex
      22 февраля 2015 в 16:27

      Плагины и примочки сплошь и рядом от сторонних разработчиков. Эти разработчики должны быть доверенными людьми. Для ворпреса тысячи плагнов написаны, одним разработчикам не под силу их проверить.

  3. 21 января 2015 в 13:07

    Конечно, уязвимости есть везде. Весь вопрос лишь в том, какого уровня эта уязвимость и какова вероятность, что она проявится в определенных условиях. Хакеры ищут такие уязвимости целенаправленно, чтобы использовать их. Естественно, что в хорошо оттестированных программах и движках большая часть выявлена, но гарантий, что все, нет.

    • Алекс
      24 января 2015 в 5:58

      Хакеры по большей части не ищут уязвимости блога на вордпресс целенаправленно. Автоматизация рулит. Есть программы, они Вам за 5 минут все уязвимости выведут, дадут ссылку на инфу об уязвимости и расскажут, как можно уязвимостью воспользоваться. Движки тестируются, а плагины? Очень много самописных плагинов. В статье рассматривается как раз такой.

      • Lalla78
        24 января 2015 в 11:01

        Подтверждает ваш комментарий мой, что сделать при желании можно всем плохо, главное во время суметь это заметить и полностью перезалить сайт.

        Переставив заново движок, а в него уже все остальное поставить.

        • lex
          22 февраля 2015 в 16:31

          Бекап сайта каждый день сведёт на нет все усилия взломщиков. Хуже если они будут спамить через ваш сайт, а вы об этом узнаете когда ваш сайт заблокируют поисковые системы. Если хостер, то не беда, а вот ПС, это самое ужасное.

      • 24 января 2015 в 15:34

        Конечно, хакеры ищут уязвимости там, где в первую очередь можно поиметь коммерческую выгоду. Разные банки, платежные системы и пр. Но взлом ящиков почты — тоже услуга востребованная. С легальных ящиком можно делать спам-рассылки. И чем с большего числа хакнутых ящиков, тем лучше.

        • Алекс
          26 января 2015 в 13:47

          Кто такие хакеры? Школьнику показали, как сломать взломать плохо защищённые сайты, он сломал с десяток. Побаловался и забыл об этом. Он хакер? Думаю, нет. У него нет теоретической базы. Он действовал по написанному кем-то шаблону. сам он не в состоянии написать другой шаблон. Я к тому, что ломается несколько миллионов сайтов каждый год и немало ломается ради развлечения.

          • 26 января 2015 в 17:28

            Алекс, чего говорить про школьников. Поскольку они ничего другого не умеют, как сидеть за компами и планшетами. Знаете пословицу — ломать — не строить, много ума не надо. Это они так развлекаются или самоутверждаются в глазах сверстников. Тем более, что другие понаделали всяких инструментов для взломов, да и в открытом доступе.

          • lex
            23 февраля 2015 в 12:50

            Alex, в открытом доступе программы двойного назначения. Предназначены они для выявления уязвимостей на проникновение на сайт. Цель программ для тестирования сайтов. Но ничто не мешает их использовать и для настоящего взлома.

        • lex
          22 февраля 2015 в 16:35

          Взлом банков, платежных систем это для птиц высокого полёта. Они не будут заниматься простыми сайтами. Такие действия долго готовятся и делаются часто группой лиц. Обычный сайт может спать спокойно.

  4. 22 января 2015 в 2:17

    Очень интересная статья, которая говорит о том, что если вы не знаете что это за плагин, значит его ставить не нужно. Многие просто очень любят поставить несколько десятков плагинов и даже не знают для чего они нужны

    • Алекс
      22 января 2015 в 7:31

      Статья немножко о другом. Давать деньги случайным людям в долг тоже неблагоразумно, как и установка неизвестных плагинов.

      • 22 января 2015 в 15:06

        Я думаю что в долг явно никто не дает не знакомым людям. А вот плагины ставят десятками это факт и где гарантия что другой плагин не может выполнять такие же действия по взлому

        • Алекс
          22 января 2015 в 16:27

          Александр, приведите свой пример. Какие десятки плагинов Вы поставили просто так, не зная для чего они. Вы первый человек, который это делает.

          • 22 января 2015 в 23:04

            увы Алекс, но вы наверное в этой теме новичек и вам никогда не приходилось выполнять какие либо услуги по блогам. Пройдите и посмотрите, в 70 % блогах как минимум такой арсенал плагинов установлен что просто реально в шоке а когда спрашиваешь для чего тот или иной плагин автор отвечает что я где то слышал об этом плагине и решил поставить а вот что он конкретно делает не знаю.
            Лично я вообще убрал все плагины, у меня достаточно знаний чтобы сделать все кодом. Как показывает статистика я первый человек который заменил практически все плагины. Сожалею что разочаровал вашу бурную фантазию. Вы смотрели другие блоги чтобы с уверенностью говорить что там только необходимые плагины и нет никакого хлама чтобы так утверждать?

          • Алекс
            24 января 2015 в 5:49

            Если у человека хватает знаний, чтобы всё сделать кодом, он не будет задавать вопросов, которые задаёте Вы. Квалификация видна по вопросам. А получается похожесть на рыбака, которого спрашивают, какую рыбу он вчера поймал…

        • Lalla78
          23 января 2015 в 1:48

          У меня фобия или мания, поэтому ни одного лишнего плагина, все проверено должно быть и прочитано в отзывах на нескольких форумах. Был негативный опыт взлома Джумлы, намучилась так, что месяц просто пропал, с Вордпрессом аккуратничаю.

          • 23 января 2015 в 7:40

            Я тоже не всегда доверяю плагинам и перед установкой ищу как можно больше отзывов о нем, либо пытаюсь заменить кодом

          • Алекс
            24 января 2015 в 5:53

            Лала, если не секрет, как взломали Вас? Через подбор паролей или уязвимость в плагине? Это Ваша вина была или движка с плагином? К безопасности приходят и через горький опыт взлома.

          • Lalla78
            24 января 2015 в 10:58

            Вина была классического плагина для Джумлы, если знаете то у этого движка мало всяких примочек для редактирования статей, как раз для расширения ставят Timy… точно название не помню. Вот эту штучку и взломали и не только у меня, а у всех у кого джумла была, кажется 1.5. Тогда умерло и пострадало много сайтов, но я новичок и полный ноль в сайтах задолбала техподдержку хостера и своего знакомого.

            Сайт переставляла раз 30, пока таки удалось от всего избавиться и перейти на Джумлу 2.6.

            Итог, проблема была массовой, своей вины не вижу, а уязвимость есть у любого сайта. Совет 1 — всегда делать бекапы, чем их больше тем лучше. Хостер вроде хорошо, надежен, но в жизни всякое бывает.

          • 24 января 2015 в 15:48

            Вот хоть и пользуюсь Джумлой, но никаких плагинов для редактирования статей не знаю. Поскольку никогда никакие не ставлю. Но про случаи взлома через плагины читаю с большим интересом. И хочется сразу написать маленькое исследование или сделать статистику (мой конек) «Об использовании плагинов для целей психотропного воздействия на авторов сайтов».

          • Алекс
            24 января 2015 в 17:44

            Вероятно, речь идёт о встроенном в Джумлу плагине визуального редактора TinyMCE. Он в Джумле используется по умолчанию. Ситуация такая же как и в описанном в статье плагине RevSlider. Найти такую уязвимость не смогут даже продвинутые пользователи, не то что начинающие. От такого взлома хоть никто не застрахован, но нужно минимизировать вероятность такого взлома.
            Техподдержка для того и нужна, чтобы обезопасить свой сайт. Ничего необычного в «задалбливании» нет. Все когда-то её задалбливали. 30 раз сайт переустановить — упорный перфекционизм. Завидую. Я бы не смог.

          • lex
            23 февраля 2015 в 12:53

            Предусмотрительность и осторожность крайне важны при установке плагинов. Нужно смотреть и на дату выпуска плагина и на предпоследнюю версию обновления. Если обновления часты, лучше не ставить такой плагин.

          • lex
            23 февраля 2015 в 12:55

            Я тоже начинал с Джумлы 1.5. Сам для себя ради удовлетворения любопытства. Сейчас уже давно чуть не третья версия у Джумлы. Мне не понравилось что плагины там от 1,5 не подходили к версии 2.0. Забросил её, потому что косяк там выплыл при публиковании новых статей. Я не стал особо разбираться с ней.

    • Татьяна
      22 января 2015 в 11:30

      Как-то всегда сомневалась в том, что можно что-то устанавливать, и не знать для чего?
      Скорее, не знают как пользоваться тем, что установили.

      • 22 января 2015 в 14:35

        Татьяна, вот очень правильное замечание. Просто золотые слова. Если ничего не знаешь, то лучше, вообще, ничего не устанавливать.
        Но моя практика говорит об обратном. Чем менее человек искушен, тем более новая версия программ (плагинов) у него стоит.

        • Татьяна
          23 января 2015 в 17:27

          Спасибо за «золотые слова» ))), скорее «чугунные».
          Вообще, интересно представление опытных людей в интернете о новичках и дилетантах.

          • 24 января 2015 в 15:31

            Татьяна, все когда-то были новичками, с опытом ведь не рождаются. И уже имея определенный опыт, хочется новичкам дать совет, как не наступать на наши грабли. Но они ни в какую не принимают никаких советов. И идут по своим граблям, но очень похожим на наши. Свой опыт учит лучше чужого. Диалектика.

        • Алекс
          25 января 2015 в 8:04

          Alex, речь об установке неизвестных плагинов, а не об их версиях. Новые версии хотя бы лучше защищены. Не могу принять, что люди ставят неизвестные плагины, не зная, для чего они нужны. Это как ради интереса грязь с улицы принести.

      • lex
        23 февраля 2015 в 12:57

        Скорее из разряда, что слышали звон да не знают где он. Не настроили толком плагин, он показал не тот результат который от него ожидали и забросили его.

    • lex
      23 февраля 2015 в 12:51

      Сложно не согласиться с Вами, Александр. Виновато в этом человеческое любопытство. Люди ставят плагины ради интереса не понимая для какой конкретной цели они нужны.

  5. lex
    20 февраля 2015 в 17:58

    Зашёл на сайт Pastebin так и не понял что там и к чему. Текстовое поле для ввода чего то. Вот и всё. Как пользоваться им? И где взять бэкдор?

  6. lex
    23 февраля 2015 в 12:58

    Речь в этой статье об одном плагине. Хочу спросить, а статьи подобной тематики на найденные уязвимости популярных плагинов ещё будут? Для общего развития так сказать. Меня интересует плагин Акисмет.

Добавить комментарий

Ваш email никогда никто не узнает. Обязательные поля отмечены *

*
*