Следом за инцидентом (https://www.opennet.me/opennews/art.shtml?num=47772) с выявлением бэкдора в плагине Captcha, в репозитории
WordPress.org по аналогичной причине заблокировано (https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../) ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha. Новыми владельцами были выпущены обновления, в которых был добавлен код, позволяющий изменять содержимое страниц сайтов. По предварительной оценке вредоносная активность была нацелена на подстановку SEO-ссылок без ведома авторов контента.
Принцип работы вредоносного кода заключается в обращении к предопределённому в коде внешнему API (https://cloud-wp.org/api/v1/update, https://cloud.wpserve.org/api/v1/update, или https://wpconnect.org/api/v1/update), который при определённом сочетании значений URL и User Agent выдаёт в ответ код, который начинает выполняться при обработке любого запроса к сайту и производит изменение отдаваемого содержимого, в зависимости от класса сформировавшего запрос посетителя (случайный посетитель, зарегистрированный пользователь, администратор или поисковый бот).Бэкдор выявлен в плагинах Duplicate Page and Post (https://wordpress.org/plugins/duplicate-page-and-post/) (50 тысяч установок), No Follow All External Links (https://wordpress.org/plugins/nofollow-all-external-links/) (9 тысяч установок) и WP No External Links (https://wordpress.org/plugins/wp-noexternallinks/) (30 тысяч установок). Пользователям данных плагинов рекомендуется прекратить их использование и проверить свои сайты на предмет скрытого изменения содержимого.
Предполагается, что появление вредоносного кода во всех поражённых плагинах связано с деятельностью одного лица. Косвенно на это указывает похожесть кода вредоносной вставки во всех трёх плагинах, обращение бэкдора в первом и третьем плагинах к доменам, размещённым на одном IP, а также то, что оплата покупки первого и второго плагина произведена одной компанией (Orb Online). Кроме того, письмо с предложением покупки второго и третьего плагина было отправлено с использованием идентичного шаблона, а после покупки все три плагина были переданы только что зарегистрированным пользователям WordPress.org.
URL: https://www.wordfence.com/blog/2017/12/plugin-backdoor-suppl.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47826
Полон опасностей похапе-мирок.
И чем бы отличались мерзавцы, которые подрядились вообще такое делягам писать, если бы оно было на сишарпе или питоне каком?
Очередной "элитарий", не сумевший даже проблему понять.
ну приведи пример подобного из Java EE/.NET-мирков. Ты же сам в прошлой новости говорил о PHP/LAMP-[суб]культуре. А я, будучи эмигрантом как раз из подобного мирка, прямо заявляю, что это лишь вершина айcберга.
Вас ведь не затруднит для начала привести аналог WP из них? Вместе с плагинами от более чем одного разработчика? (я не троллю, просто давно выпал из новостей CMS/CMF и так, с жабовыми если и сталкивался, то забыл когда, тем более дотнетовыми)Понятно, что градус разгильдяйства "при чём" и при выборе языка, и при выборе базовой CMS (уж сколько нормальных людей поуходили из той же жумлы, попытавшись что-то там исправить и напоровшись как раз на асберг).
Но тут критично не разгильдяйство, а злонамерение, как мне кажется.
>Вас ведь не затруднит для начала привести аналог WP из них?Про дотнет не скажу, давно ковырял и не проникся, а в жабеЕЕ не нужен никакой "аналог WP", там на высокоуровневом фреймворке например Primefaces "свой WP" делается за несколько дней.
А у Primefaces репутация нормальная и никаких "левых плагинчиков".
> "свой WP" делается за несколько дней.Нет. Простейший бложик - да, делается. А комбайн с 100500 функций из коробки за несколько дней никак сделается. А если бы было "не нужно", то им бы не пользовалось столько народу, несмотря на то, что у вордпресса внутри.
А высокоуровневых фреймворков на пхп - полно. Symfony так вообще со Spring слизана.
Вам и на жопу влеть и елку не уколоть... Комбайн из гуаши ваты и пластилина...
Ну чего хотели того и получили... А в целом под заказ надо конечно делать а не лепить горабтого
У бизнеса всегда есть деньги на разработчиков так что не надо гнать пургу а те кто халявят получат серьезный риск а потом будут доказывать что клиенты сами к конкурентам ушли )
Поэтому жаба и не нужна никому.
То, что можно сделать на Java со Spring-ами за несколько дней, за те же несклько дней делается на PHP и Symfony. И код будет очень похож. Если задача простая - вполне можно справиться, да.Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно собрать адовый комбайн за 30 минут, не умея программировать вообще.
И, конечно же, в любую систему, поддерживающую сторонние плагины, всегда можно запихать вредоносный код. Кто помешает-то? Любые автоматизированные проверки можно обойти. Единственный способ этого избежать - делать по принципу эппловского AppStore, с централизованным ревью кода и цифровыми подписями.
> Вот только не надо забывать, что вордпресс, при всем его сомнительном качестве
> кода, популярен прежде всего благодаря тысячам плагинов и тем, и можно
> собрать адовый комбайн за 30 минут, не умея программировать вообще.Итак, правильно ли мы Вас поняли, что популярность вордпресс приобрел среди профанов (то есть не специалистов), которые могут самостоятельно собрать комбаин за 30 минут из 1000 плагинов, но решение получиться сомнительного качества.
В целом я с Вами согласен у любого человека все получиться, но качество... Скажем вот попросить Вас изготовить автомобиль и даже дать вам готовые детали ну там корпус от запорожца не знаю движок от бехи и стекла от ауди и синюю изоленту уверен толк будет и даже оно вполне поедет, но зачем когда на рынке полно людей проф-но делающих все это )
Но ведь проблема не в качестве кода в данном случае.
И кстати аналогичный пример это playstore и каталоги дополнений браузеров. В playstore просто программы с вирусами загружают, а в каталогах дополнений такие же ситуации часто происходят как в этой новости.
> а в жабеЕЕ не нужен никакой "аналог WP"Отличное решение, профессиональный жабист расскажет вам про то что конкуренты не нужны, лучше купите у него слона.
> А у Primefaces репутация нормальная и никаких "левых плагинчиков".
Это вообще что? Что такое вордпресс - каждый второй знает. А про это нечто - в первый раз слышу.
Приведи пример аналога вордпресса (по популярности) в EE/.NETПричем тут вообще субкультуры и языки. Хром вот вообще на плюсах написан - http://www.opennet.me/opennews/art.shtml?num=46945 , http://www.opennet.me/opennews/art.shtml?num=46851 - и что?
Есть продукт позволяет использовать плагины, то кто-нибудь может этим воспользоваться в нехороших целях.
Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели, а он делает другое. Хотя бы несколько автоматических тестов проводить и выводить куда лезет плагин и что меняет пользователю до установки.
> Значит для плагинов ограничения надо пилить, аудит всего этого г утопичен.
> Как-то странно, что плагин творит что вздумается. Юзверь ставит для одной цели,
> а он делает другое. Хотя бы несколько автоматических тестов проводить и
> выводить куда лезет плагин и что меняет пользователю до установки.Идея плагинов хороша, но только тогда когда их делает одна фирма. Используйте уже тогда 1С:Витрина
1С это вообще один большой кусок малвари. Проприетарное нечто с диким кодом и полудохлой поддержкой даже за деньги.
Просто мирки Java EE/.NET не идут ни в какое сравнение с миром PHP. Вот поэтому и не интересны бекдоровстраивателям.
Ну так дело наверно в WordPress, а не в похапэ
да ничем, просто спроса на такую продукцию нет - влезть в питоновский репо подобным способом можно, но придется либо в подворотне подкарауливать, либо пароли подбирать - нет практики продажи модулей вместе с авторскими правами и названием.А для готовых расширяемых cms на пихоне может она и есть, но никто не знает и не узнает об их существовании. Ибо ненужно, вордопреса с друпалкой уже все значимые поляны засpали. А 1С почему-то никому не интересен, угадайте, чего это вдруг...
Трояны в проце? Полон опасностей Asm-мирок. Полон опасностей rm -rf? Опасен shell-мирок. Террористы? Опасен оружия мирок. Пустая голова тролля? Безопасна.
Это тянет на хокку о безысходности! даже на 2 хокку! :)
то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
барыгам - отрицательная карма
> то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?"Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZY
>> то есть, теперь ещё продавать свои творения новым хозяевам надо осмотрительно?
> "Покупайте наших слонов!" -- https://youtu.be/siCiIyg4ZZYЗапретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.
> Запретить продавать. А за свою УЗ первоначальный владелец должен нести уголовную ответственность.В большинстве юрисдикций есть уголовная ответственность за создание малвари. Этого мало?
>> Запретить продавать.проще запретить плагины. Их (те что продают) пишут, если вы не поняли, не за спасибо. Спасибом сыт не будешь.
> В большинстве юрисдикций есть уголовная ответственность за создание малвари.
> Этого мало?мало - это, "в большинстве юрисдикций" не малварь. Не наносит прямого ущерба ни пользователю, ни его системе, ни его клиентам. Показывают вам иногда интересную и неназойливую рекламу. Данные утекают налево? Так это "обычная бизнес-практика", и за это скажите спасибо не каким-то там барыгам, а одной корпорации бла-бла и другой корпорации бабла.
Я плагин - купил, за нормальные деньги, все честно. Я добавил туда нужный и полезный мне функционал - ну так я тебе ничего и не обещал...
> это, "в большинстве юрисдикций" не малварьЗа большинство юрисдикций не скажу, но в РФ это 273/2, до 5 лет.
> Данные утекают налево? Так это "обычная бизнес-практика"
272/3 предусматривает ответственность за такую "бизнес-практику".
только в ваших влажных мечтах. В реальности надо доказать нанесенный вам ущерб.
Нет, моральные страдательства и прочие розовые сопли в УК не катят.> 272/3 предусматривает ответственность за такую "бизнес-практику".
гуглю это расскажите, вот они поржут.
> В реальности надо доказать нанесенный вам ущерб.Не надо, на вторую часть достаточно группы лиц и предварительного сговора. А если ты один, то отделаешься первой, до 4 лет.
> гуглю это расскажите
У гугля всё санкционировано: тот, кто его аналитику в свои сайты встраивает, принимает условия использования (читает ли он их при этом и понимает ли, что сам в результате может понести ответственность за слив лишнего, уже другой вопрос).
Давай, Мэйсон, я верю в тебя!
Покажи всем, что такое лёгкие в освоении CMS!
Бэкдуров среди популярных плагинов довольно много. На мою критику по данному поводу админы wordpres.org ответили блокировкой моего аккаунта - это очень красноречивое свидетельство о том, что они все соучастники!
Если критика была такой же конструктивной и аргументированной, ничего удивительного.
> Если критика была такой же конструктивной и аргументированной, ничего удивительного.А я вовсе не обязан перед вами отчитываться. Мои сервера защищены не на уровне сайта. Мною лишь озвучена статистика на уровне системы безопасности сервера.
> Мною лишь озвучена статистика на уровне системы безопасности сервера.Я тебя наверное очень удивлю, но "Бэкдуров среди популярных плагинов довольно много" ни разу не статистика, тебя кто-то обманул.
А ты не пробовал вежливо с людьми общаться? А то хамство и демонстрация ЧСВ без конструктива и патчей обычно не приветствуются.
/do(ː)ɹ/
Судя по названиям плагинов, на статических движках такой фигни бы не было.
> Судя по названиям плагинов, на статических движках такой фигни бы не было.Даже не смотря на названия плагинов, при Сталине такой фигни бы не было.
Duplicate Page and Post аааааааапочти на всех моих сайтах,
Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.
> Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.В AUR?
Не только в AUR могут быть бэкдоры. В основную репу разрабы тоже могут добавить много чего.
> Нужно искать бэкдоры в репозиториях. В особенности это касается дистрибутива Arch.бабки, бабки-то - где?
А в тп хостинга регулярно сыпятся жалобы что хостинг им сайты на wordpress и php 5.3 взломал.