В плагине social-media-widget к WordPress (WordPress Social Media Widget), с реализацией виджета для вставки кнопок быстрого обращения к социальным сетям, выявлено (http://blog.sucuri.net/2013/04/wordpress-plugin-social-media...) наличие вредоносного кода для подстановки спама. Усугубляет ситуацию то, что плагин пользуется большой популярностью и был загружен более 900 тысяч раз. В настоящее время плагин уже удалён из каталога WordPress, а всем пользователям дана рекомендация незамедлительного отключения данного плагина в своих системах.
В процессе изучения кода плагина были выявлены вставки, осуществляющие загрузку с внешних сайтов блоков для непрошенной подстановки на использующий плагин сайт спама в форме SEO-ссылок. По предварительной оценке вредоносный код появился в репозитории 12 дней назад при выпуске релиза 4.0 данного плагина. Некоторые пользователи сообщают (http://wordpress.org/support/topic/anyone-know-why-social-me...) о наличии иного, похожего по назначению, вредоносного кода в выпуске 3.3.
Месяц назад, при поступлении жалоб (http://wordpress.org/support/topic/strange-url-in-social-wid...) на загрузку данных с непонятных внешних сайтов, разработчики удалили злонамеренную вставку из репозитория, не придав должного внимания расследованию инцидента. Спустя несколько недель в код была внедрена новая вставка, в ответ на что администраторы каталога плагинов полностью заблокировали (http://wordpress.org/support/topic/anyone-know-why-social-me...) проблемный виджет и инициировали отправку пользователям обновления, удаляющего уже установленные копии social-media-widget. Судя по всему, у одного из разработчиков проекта были перехвачены параметры доступа к репозиторию, которые стали использоваться злоумышленниками для внедрения своего кода в состав плагина. Тем не менее, точной информации об источнике подстановки кода пока нет, разработчики проекта отвергают свою причастность к инциденту и пока не нашли следов утечки.URL: http://blog.sucuri.net/2013/04/wordpress-plugin-social-media...
Новость: http://www.opennet.me/opennews/art.shtml?num=36651
А насколько сильно анализируют код плагнов при публикации в каталоге?Если я туда отправлю плагин вида eval($govnokod); код опубликуют или отправят меня куда подальше?
Код никак не анализируют - ваш account создается автоматически еще до того как вы отправили свой первый commit.
а я то думал почему вп не пашет када на файерволе заблокированы исходящие соединения )))
Вообще-то он должен пахать, только с тормозами, так как при каждом чихе будет пытаться проверить наличие обновлений, трэкбектов и прочей мишуры, если это не отключить в настройках.
вроде отрубали, всякие ньюс фиды и обновления, сайт подписал на 30 секунд (дефолтовый таймаут подключения к сокету), ну сразу ясно было в чём дело - дальше не стал копать - хотя мысль о троянизации исходников была.
очень много мусора разного для ВП, я это УГ стала чистить из плагинов и тем после того как упал сайт, который проверялся темой оформления на наличие обновлений при _каждой генерации_ страницы cоответственно блог подвисал на каждой странице на минуту (выжрав максимум процессов php), и увы подобных "изысков" полно и в плагинах и в темах... И как правило время генерации страницы зависит уже далеко не от скорости работы php на хостинге, а от скорости прохождения всех этих мусорных запросов. В социальных же виджетах тормоза вообще обычное дело.. твиттеры, триберры (ужасный плагин), и прочая бяка...
SEOшник - хуже пидо*аса. Даже не удивило
По мнению Главных Редакторов - этот случай всего лишь вершина айсберга.
Вебдваноль заказывали? Получите и распишитесь.
И что?
и распишитесь
и немедленно выпейте!
> Вебдваноль заказывали? Получите и распишитесь.Ты так говоришь, как будто трояны придумали вебдванольщики. Пффф, ты делаешь им слишком много чести!
ня-ня-няшечки какие!— а у вас тут код какой-то левый в репозитории появился!
— а, чо? вот и удалили, нет никакого левого кода.
— так чуваки, а откуда взялся-то?
— кто взялся, что взялось? ничего не было, всё нормалёк!похаписты in all their glory.
> похаписты in all their glory.Вы таки полагаете, что идиотом может быть только похапист?
>> похаписты in all their glory.
> Вы таки полагаете, что идиотом может быть только похапист?нет, конечно. но похаписты умудряются блистательно демонстрировать идиотию.
впрочем, кде-шники уверенно включились в соревнование и сделали серьёзную заявку если не на победу, то как минимум на призовое место.
большинство этих "изысков" написано далеко не теми, кто занимается программированием на php более менее профессионально, настоящие ужасы как правило пишут дизайнеры и прочие люди, достаточно далекие от написания кода
> большинство этих "изысков" написано далеко не теми, кто занимается программированием на
> php более менее профессионально, настоящие ужасы как правило пишут дизайнеры и
> прочие люди, достаточно далекие от написания кодаИ кто этих людей пустил исправлять критические уязвимости? Речь о культуре php, где подобное - норма. Где не решают проблемы, а латают заплатки, где о красоте и читаемости кода никто не думает.
ps. Тех, кто занимается php более менее профессионально, рано поздно начинает от php тошнить. И они бегут... как Мопассан бежал от Эйфелевой башни, которая давила ему мозг своей пошлостью.
как тут правильно спросили — а кто их в production пустил-то? это тоже «примета похапэ». характерный узнаваемый стиль: «а, я колбасу на кухне резал? значит, и операцию на сердце смогу!»
социофилия оказалась с вирусами, все как у людей.
> социофилия оказалась с вирусами, все как у людей.Социальная сеть - это Fido. А фейсбуки - это сети скорее рекламные.
> Социальная сеть - это Fido. А фейсбуки - это сети скорее рекламные.А Freenode тогда что?
> А Freenode тогда что?Вот-вот, что это за хрень?
>> Социальная сеть - это Fido. А фейсбуки - это сети скорее рекламные.
> А Freenode тогда что?А сколько притоков у Дуная?
Нэ могу молчат...А что такое Дунай?
"Спросите у Олега" :)
Кто такой, этот Ваш Олег?!
> Нэ могу молчат...
> А что такое Дунай?Донау — это река такая.