Nhịp sống số
Nhiều backdoor ngụy trang dưới dạng plug-in WordPress
03-10-2017 16:07
TTO - Gần đây, một plug-in (thành phần mở rộng) WordPress giả mạo có chứa backdoor đã bị phát hiện. TIn tặc đứng sau vụ việc đã cố gắng lừa người dùng tin đây là một plug-in phổ biến có hơn 100.000 lượt cài đặt và hoàn toàn an toàn khi tải về.
Một số plug-in WordPress phổ biến. Nguồn: WPBeginner.
Lạm dụng tính phổ biến của plug-in SpamShield Anti-Spam, một công cụ được thiết kế để giúp các trang web nền tảng WordPress chống lại nhiều loại thư rác, hacker đã chèn backdoor được gọi là X-WP-SPAM-SHIELD-PRO vào plug-in này.
Khi phân tích X-WP-SPAM-SHIELD-PRO, các nhà nghiên cứu bảo mật của Sucuri đã khám phá ra rằng nó có cấu trúc và tên tệp hợp pháp, nhưng tất cả nội dung bên trong đều giả mạo. Nó được thiết kế để vô hiệu hóa các plug-in khác, bao gồm các chức năng liên quan đến an ninh và bảo mật dữ liệu.
Một trong những tệp tin bên trong backdoor này có tên là class-social-facebook.php. Thay vì chặn mọi thư rác trên Facebook như tên gọi của mình, nó sẽ vô hiệu hóa tất cả các plug-in quan trọng trong WordPress. Vì thế, nó hoàn toàn có thể làm hỏng trang web.
Hai tệp khác, class-term-metabox-formatter.php và class-admin-user-profile.php, được thiết kế cho mục đích thu thập dữ liệu. Nó sẽ thu thập danh sách tất cả các quản trị viên trong WordPress.
Một tệp tin khác, được gọi là plugin-header.php, sẽ thêm tài khoản quản trị viên bổ sung - mw01main - vào trang web. Tệp có chứa mã để xóa chính nó, đồng thời tiết lộ tên người dùng, mật khẩu và email mà hacker có thể sử dụng để đăng nhập vào trang web bị xâm nhập.
Plug-in giả mạo hoàn toàn có thể làm hỏng trang web. Nguồn: SC Magazine.
Các plug-in giả mạo cũng bao gồm mã thông báo, giúp hacker sẽ biết được mỗi lần quản trị viên kích hoạt nó trên trang web. Theo đó, hacker sẽ ngay lập tức biết trang web nào vừa mới tải nhầm plug-in chứa backdoor.
Ngoài thông tin người dùng và mật khẩu, backdoor còn thu thập rất nhiều thông tin từ các trang web bị xâm nhập và gửi cho hacker như thông tin các plug-in đang hoạt động, địa chỉ IP của máy chủ và các dữ liệu nhạy cảm khác.
Chức năng cập nhật của backdoor cũng đã được phát hiện. Nó cho phép hacker tải lên bất cứ thứ gì vào trang web dưới dạng file ZIP, sau đó giải nén nó vào hệ thống bị xâm nhập và xóa lưu trữ.
Các nhà nghiên cứu còn kết luận rằng các backdoor còn có liên quan đến plug-in nổi tiếng của WordPress là All In One SEO Pack. Do đó, quản trị viên chỉ nên tải các plug-in từ nguồn đáng tin cậy, cũng như kiểm tra và cập nhật các cài đặt đã được thiết lập thường xuyên.
quan tâmTHÁI CƯỜNG
Tin liên quan
Macbook đứng trước nguy cơ bảo mật do lỗi EFI
Hàng trăm triệu máy tính cài CCleaner đối mặt nguy cơ bảo mật
Khẩn cấp chặn hệ thống máy chủ điều khiển mã độc tấn công APT
Dữ liệu 17 triệu người dùng bị đánh cắp, bán trên web đen
Từ khóaWordPressPlug-inBackdoor
Thông tin bạn đọc
Vui lòng nhập Email
Email Không đúng định dạng
Vui lòng nhập Họ & Tên.
Gửi bình luậnThông báo
Bạn vui lòng đợi 0s để tiếp tục commentThông báo
Bình luận được gửi thành công
Post a Comment