Hackerii au implementat pluginuri Backdoor false pentru a infecta site-urile WordPress

Încă o dată, hackerii au conceput o nouă strategie pentru a infecta site-urile WordPress. De această dată, cercetătorii le-au găsit exploatând pluginuri WordPress false imitând UpdraftPlus. Aceste plugin-uri care posedă funcționalitate de backdoor, care se ascund și de tabloul de bord pentru a sustrage detectarea.

Plug-uri WordPress UpdraftPlus false

Un post recent de blog realizat de Sucuri a dezvăluit pluginuri rău intenționate care vizează site-uri WordPress. Au găsit în mod special unele pluginuri UpdraftPlus false care infectează site-urile WordPress pentru a executa alte activități rău intenționate.

Mai exact, cercetătorii au observat că pluginurile false cu nume initiatorseo sau updrat123 imită funcționalitatea popularului backup / restaurare WP plugin UpdraftPlus. Întrucât, metadatele lor copiază versiunea 1.16.16 a UpdraftPlus lansată în iulie a acestui an.

Atacatorii vizează în mod activ site-urile WordPress prin intermediul acestor pluginuri false. Ceea ce adaugă la răutatea lor este capacitatea lor de a se ascunde de tabloul de bord.

În mod implicit, pluginul se ascunde în tabloul de bord WordPress de orice persoană care nu utilizează browsere cu șiruri specifice User-Agent. Aceste șiruri variază de la plugin la plugin.

Cu toate acestea, pluginurile își pot semnaliza încă prezența atacatorilor.

Pluginul poate raporta și prezența sa dacă atacatorii adaugă un parametru GET specific la solicitări, cum ar fi inițiativitatea sau testarea cheii.

Plugin-uri care servesc ca backdoor

Potrivit cercetătorilor, aceste plugin-uri false servesc ca o copie cu backdoor pentru atacatori pentru a le facilita să obțină controlul asupra serverului web. Exploatarea acestor pluginuri poate permite hackerilor să încarce fișiere arbitrare pe site-urile web afectate.

Pentru aceasta, folosesc cereri POST care includ informații despre adresa URL a locației de descărcare. Parametrii POST sunt unici pentru fiecare plugin și specifică, de asemenea, numele fișierului și calea pentru a scrie fișierele.

În timpul analizei lor, cercetătorii au găsit atacatori care foloseau backdoor pentru a încărca shell-uri web în locații aleatorii. Mai mult, au folosit și backdoor-ul pentru a încărca fișiere cu nume de fișiere arbitrare în directoarele rădăcină ale site-ului, pe care le-ar putea exploata în continuare pentru atacurile de forță brută pe alte site-uri web.

Plugin-urile WordPress au fost mult timp o cale pentru atacatori să vizeze diverse site-uri web. Prin urmare, înainte de a configura un site WordPress, este obligatoriu ca proprietarul să se familiarizeze cu posibilele amenințări la adresa securității, la adresa site-ului și cu modalitățile de combatere a acestor atacuri.

Lasa un comentariu

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.