ProHoster > Blog > berita internet > Pintu belakang dalam 93 pemalam dan tema AccessPress yang digunakan pada 360 ribu tapak

Pintu belakang dalam 93 pemalam dan tema AccessPress yang digunakan pada 360 ribu tapak

Penyerang berjaya membenamkan pintu belakang ke dalam 40 pemalam dan 53 tema untuk sistem pengurusan kandungan WordPress, yang dibangunkan oleh AccessPress, yang mendakwa bahawa alat tambahnya digunakan di lebih daripada 360 ribu tapak. Keputusan analisis insiden itu masih belum diberikan, tetapi diandaikan bahawa kod hasad telah diperkenalkan semasa pencerobohan tapak web AccessPress, membuat perubahan pada arkib yang ditawarkan untuk dimuat turun dengan keluaran yang telah dikeluarkan, memandangkan pintu belakang hadir. hanya dalam kod yang diedarkan melalui laman web rasmi AccessPress, tetapi tiada dalam keluaran alat tambah yang sama yang diedarkan melalui direktori WordPress.org.

Perubahan hasad ditemui oleh penyelidik di JetPack (sebuah bahagian pembangun WordPress Automatik) semasa memeriksa kod hasad yang ditemui pada tapak web pelanggan. Analisis situasi menunjukkan bahawa perubahan berniat jahat hadir dalam add-on WordPress yang dimuat turun dari laman web rasmi AccessPress. Alat tambah lain daripada pengeluar yang sama juga tertakluk kepada pengubahsuaian berniat jahat yang membenarkan akses penuh ke tapak dengan hak pentadbir.

Semasa pengubahsuaian, penyerang menambah fail "initial.php" pada arkib dengan pemalam dan tema, yang disambungkan melalui arahan "include" dalam fail "functions.php". Untuk mengelirukan jejak, kandungan berniat jahat dalam fail "initial.php" telah disamarkan sebagai blok data yang dikodkan base64. Sisipan berniat jahat itu, dengan berselindung untuk mendapatkan imej daripada tapak web wp-theme-connect.com, secara langsung memuatkan kod pintu belakang ke dalam fail wp-includes/vars.php.

Pintu belakang dalam 93 pemalam dan tema AccessPress yang digunakan pada 360 ribu tapak
Pintu belakang dalam 93 pemalam dan tema AccessPress yang digunakan pada 360 ribu tapak

Tapak pertama yang menyertakan perubahan berniat jahat pada alat tambah AccessPress telah dikenal pasti pada September 2021. Diandaikan bahawa pada masa itu pintu belakang telah dimasukkan ke dalam alat tambah. Pemberitahuan pertama kepada AccessPress tentang masalah yang dikenal pasti tidak dijawab, dan AccessPress hanya dapat mendapat perhatian selepas melibatkan pasukan WordPress.org dalam penyiasatan. Pada 15 Oktober 2021, arkib yang terjejas oleh pintu belakang telah dialih keluar daripada tapak web AccessPress dan versi baharu alat tambah telah dikeluarkan pada 17 Januari 2022.

Sucuri memeriksa tapak secara berasingan yang mana versi AccessPress yang terjejas telah dipasang dan mengenal pasti kehadiran modul hasad yang dimuatkan melalui pintu belakang yang menghantar spam dan mengubah hala peralihan ke tapak penipuan (modul tersebut bertarikh 2019 dan 2020). Diandaikan bahawa pengarang pintu belakang menjual akses kepada tapak yang terjejas.

Tema di mana penggantian pintu belakang direkodkan:

  • accessbuddy 1.0.0
  • accesspress-asas 3.2.1
  • accesspress-lite 2.92
  • accesspress-mag 2.6.5
  • accesspress-parallax 4.5
  • aksespress-ray 1.19.5
  • aksespress-root 2.5
  • accesspress-staple 1.9.1
  • accesspress-store 2.4.9
  • agensi-lite 1.1.6
  • aplite 1.0.6
  • bingle 1.0.4
  • blogger 1.2.6
  • pembinaan-lite 1.2.5
  • doko 1.0.27
  • menyedarkan 1.3.5
  • fashstore 1.2.1
  • fotografi 2.4.0
  • gaga-corp 1.0.8
  • gaga-lite 1.4.2
  • satu ruang 2.2.8
  • blog paralaks 3.1.1574941215
  • paralaks 1.3.6
  • punte 1.1.2
  • pusingan 1.3.1
  • riak 1.2.0
  • skrolme 2.1.0
  • sportsmag 1.2.1
  • storevilla 1.4.1
  • swing-lite 1.1.9
  • pelancar 1.3.2
  • the-isnin 1.4.1
  • nyahkod-lite 1.3.1
  • unicon-lite 1.2.6
  • vmag 1.2.7
  • vmagazine-lite 1.3.5
  • vmagazine-berita 1.0.5
  • zigcy-bayi 1.0.6
  • zigcy-cosmetics 1.0.5
  • zigcy-lite 2.0.9

Pemalam yang penggantian pintu belakang dikesan:

  • accesspress-anonymous-post 2.8.0 2.8.1 1
  • accesspress-custom-css 2.0.1 2.0.2
  • accesspress-custom-post-type 1.0.8 1.0.9
  • accesspress-facebook-auto-post 2.1.3 2.1.4
  • accesspress-instagram-feed 4.0.3 4.0.4
  • accesspress-pinterest 3.3.3 3.3.4
  • aksespress-kaunter-sosial 1.9.1 1.9.2
  • accesspress-social-icons 1.8.2 1.8.3
  • accesspress-social-login-lite 3.4.7 3.4.8
  • accesspress-social-share 4.5.5 4.5.6
  • aksespress-twitter-auto-post 1.4.5 1.4.6
  • aksespress-twitter-feed 1.6.7 1.6.8
  • ak-menu-icons-lite 1.0.9
  • ap-pendamping 1.0.7 2
  • ap-contact-borang 1.0.6 1.0.7
  • ap-custom-testimonial 1.4.6 1.4.7
  • ap-mega-menu 3.0.5 3.0.6
  • ap-pricing-tables-lite 1.1.2 1.1.3
  • apex-notification-bar-lite 2.0.4 2.0.5
  • cf7-store-to-db-lite 1.0.9 1.1.0
  • comments-disable-accesspress 1.0.7 1.0.8
  • tab-sisi-mudah-cta 1.0.7 1.0.8
  • everest-admin-theme-lite 1.0.7 1.0.8
  • everest-coming-soon-lite 1.1.0 1.1.1
  • everest-comment-rating-lite 2.0.4 2.0.5
  • everest-counter-lite 2.0.7 2.0.8
  • everest-faq-manager-lite 1.0.8 1.0.9
  • everest-gallery-lite 1.0.8 1.0.9
  • everest-google-places-reviews-lite 1.0.9 2.0.0
  • everest-review-lite 1.0.7
  • everest-tab-lite 2.0.3 2.0.4
  • everest-timeline-lite 1.1.1 1.1.2
  • seruan-untuk-tindakan-lite 1.1.0 1.1.1
  • product-slider-for-woocommerce-lite 1.1.5 1.1.6
  • smart-logo-showcase-lite 1.1.7 1.1.8
  • smart-scroll-posts 2.0.8 2.0.9
  • smart-scroll-to-top-lite 1.0.3 1.0.4
  • total-gdpr-compliance-lite 1.0.4
  • jumlah-pasukan-lite 1.1.1 1.1.2
  • ultimate-author-box-lite 1.1.2 1.1.3
  • ultimate-form-builder-lite 1.5.0 1.5.1
  • woo-badge-designer-lite 1.1.0 1.1.1
  • wp-1-slider 1.2.9 1.3.0
  • wp-blog-manager-lite 1.1.0 1.1.2
  • wp-comment-designer-lite 2.0.3 2.0.4
  • wp-cookie-user-info 1.0.7 1.0.8
  • wp-facebook-review-showcase-lite 1.0.9
  • wp-fb-messenger-button-lite 2.0.7
  • wp-menu-terapung 1.4.4 1.4.5
  • wp-media-manager-lite 1.1.2 1.1.3
  • wp-popup-banner 1.2.3 1.2.4
  • wp-popup-lite 1.0.8
  • wp-product-gallery-lite 1.1.1

Sumber: opennet.ru

Tambah komen