Пользователь
587,9
рейтинг
7 сентября 2009 в 11:06

Разработка → Эпидемия «умного червя» под WordPress

Месяц назад стало известно о новой критической уязвимости в WordPress 2.8.3, позволяющей легко изменить администраторский пароль в удалённом режиме. Сразу же вышел WordPress 2.8.4, устраняющий эту уязвимость. Как оказалось, далеко не все блогеры следят за апдейтами.

В этот уикенд разразилась настоящая эпидемия нового вируса, поражающего блоги на движке WordPress 2.8.3 и более ранних версий в ветке 2.8. Червь регистрируется в блоге, запускает вредоносный код через структуру permalink и делает себя вторым админом, потом запускает скрипт для стирания себя со страницы юзеров и начинает втихую добавлять спам и ссылки на вредоносный контент в архивные топики.

Присутствие вредителя довольно сложно обнаружить сразу, тем более если он ещё ничего не опубликовал. Для этого нужно проверить фид permalinks/rss на присутствие нижеследующего кода.

%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

или

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

или ошибки

‘error on line 22 at column 71: xmlParseEntityRef: no name wordpress’

Если есть такой код или фид сломан, то блог инфицирован.

Процедура удаления червя представляет собой нетривиальную задачу.

Кстати, Мэтт Мюлленвег разродился большой статьёй на тему безопасности, в которой призывает юзеров постоянно отслеживать и устанавливать свежие апдейты, вот инструкция по апгрейду WordPress. Это единственный способ обезопасить себя от этой и будущих эпидемий.
Анатолий Ализар @alizar
карма
739,5
рейтинг 587,9
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (56)

  • +3
    Спасибо, обновился на всякий случай :)
  • +3
    ИМХО, ветка 2.8 самая «дырявая», на моей памяти.
    • +3
      Возможно, прежде желание навредить было не так велико, как теперь. А нынче желающих проверить WP на прочность прибавилось, что приводит к заключению о том, что WP стал более уязвим.
      • 0
        Возможно, Вы и правы. WP всё более популярен, что несомнено сказывается на всё возрастающем желании попробовать его «на зуб» у отдельных личностей.
    • 0
      Да дырок то и раньше не было, но чем больше популярность WP тем больше его код ковыряют. и ковыряют совсем не в благих целях
      • 0
        опечатка. не МАЛО было
    • 0
      как раз в 2.8 эта ошибка закрыта. а вот все версии с 2.3 и до 2.7 уязвимы.
  • 0
    «поражающего блоги на движке WordPress 2.8.3 и более ранних версий»
    речь идёт о более ранних версиях именно в ветке 2.8? или о более ранних версиях вообще?
    • 0
      тоже интересно
  • 0
    обновился сразу как только вышел апдейт
    • 0
      а я не стал
      • +2
        «Вы оба молодцы» (с) День Радио
    • +2
      молодец
  • –1
    «Червь регистрируется в блоге»… Логично предположить, что решением будет запрет регистрации (если это блог одного автора, уверен, что на большинстве блогов в настоящее время регистрация не нужна), а не обновление)

    Во-вторых, если используется «дыра» с админом — проще закрыть именно ее, чем обновлять до 2.8. Хотя в статье не указано, какая именно уязвимость используется.

    Ну, вы поняли, все мое личное мнение.
    • –1
      Кстати, по умолчанию регистрация на блогах Wordpress запрещена.

      В общем вы все молодцы, что обновились, до 2.8. Это про «поражающего блоги на движке WordPress 2.8.3 и более ранних версий в ветке 2.8.»…

      Так что я пока гоняю 2.7+ и сплю спокойно.
  • +1
    Повезло, обновился в пятницу до 2.8.4 — в выходные регился кто то из ботов :)
  • +1
    У ребят в последнее время что-то плохо «поэзия» идет.
  • 0
    Ндааа… стояла 2.8.2. Обновился, спасибо, ибо не было бы этой заметки — обновляться не стал бы.
  • –1
    Обновился, конечно. Но запарило после каждого обновления привыкать к новой админке…
  • –9
    Кстати, у вас опечатка — инфЕцирован правильно.
    • +2
      yandex.ru/yandsearch?text=инфЕцирован
      • +2
        моя ошибка, почему-то пришло в голову слово инфЕкция:)
  • –14
    Я конечно не специалист, и не использую WP…

    Но не кажется-ли Вам, что WP просто дырявый движок?
    • +2
      Первая строчка коммента говорит обо всем :)
    • 0
      все становится дырявым, когда ему уделяется должное внимание. чем популярнее, тем «дырявее».
    • 0
      Вай какой холосая двизока, эта ворда-пресса!

      Прибежала стая леммингов, т.е тех кому пох на аргументы — их мнение и только, и понатыкали что не надо ;)
  • –2
    Обновил давно, как только написали о дыре.

    Все 4 сайта на wp обновились в автоматическом режиме без каких либо проблем и последствий.
    • 0
      Хм… А не вы ли автор этой пакости? Поскольку широкой общественности об этой уязвимости, и атаках на блоги с ее помощью, стало известно только в эту субботу. 05.09.2009 14:37:23 Появилось первое сообщение о взломе блога на форуме русской поддержки mywordpress.ru/support/viewtopic.php?id=11276
  • –3
    Pwnie Award(своего рода «Золотая малина» в IT) ещё 6 августа 2008 года вручил Wordpress награду за mass0wnage. Ссылка pwnie-awards.org/2008/awards.html#mass0wnage. Я например очень сильно не доверяю Wordpress после заглядывания в код его админ интерфейса.
    • 0
      конкретные претензии будут или вы просто так попонтовались?

      чем популярнее программа — тем больше в ней найдут дырок.
      особенно когда исходный код доступен всем.
      это вообще аксиома программирования.
  • –22
    Коротко ясно, и плезно. Извини плюсануть немогу, недостаточно заряда (
    • +10
      Сейчас тебя зарядят :))
      • +1
        Только полярность не та :)
        • 0
          А вам слабо? )
  • 0
    я сразу же обновился, но админка на нетбуке после этого поплыла (
  • 0
    У меня 2.5.1 стоит. Эта версия тоже подвержена этой эпидемии? Кто-то в курсе?
    • +1
      Кто-то в курсе, ага :)
  • 0
    Как связаны эти эпидемия и дыра, позволяющая сбросить пароль без проверки?
    • 0
      никак не связаны, автор ошибся
  • 0
    WP-замечательный движок!
    При своевременном обновлении, проблем почти никогда не возникает!
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Здрасте приехали. WP уже давно имеет механизм автоматического обновления. Все, что нужно для
      апдейта — ткнуть по кнопке, предварительно забекапившись. А до этого были плагины, предлагавшие аналогичные возможности.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          вы не правы насчет автом. обновления и того что оно работает только на выделенных серваках. Я настраивал очень много сайтов на вордпрессе (практически все эти сайты были на виртуальном хостинге) и только редкие экземпляры не хотели автоматически обновляться. И зачастую ошибка авт.обновления была из за неправильной настройки хостера (либо по правам доступа, либо слабый хостинг с малым лимитом оперативки)

          Что значит «при обновлении нужно допиливать многое» ??? вы что в коде вордпресса «допиливаете»? зачем? Вы читали про метод хуков в вордпрессе? (add_action, add_filter) — ими можно все допилить и сделать в виде плагина, что после обновления останется на месте и все так же будет работать.

          Структура кода WP очень клевая и правильная. В нем нет ничего ужасного, просто нужно сначала ознакомиться с документацией, прежде чем лезть туда, куда не знаешь.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              «На всех виртуал хостах очень строгин ограничения» — что за голословные утверждения? А где подтвержения ваших слов?
              Ну если жмотится на деньги, то конечно получите в итоге слабый хостинг.
              Хотя у меня недавно друг перешел на хостинг с ценой 1 бакс в месяц, и на нем поставил 3 сайта на wordpress с общей посещаемостью ≈2000 уников в день — и ниче, все работает, автоапдейт плагинов и самого вордпресса. (я сам в шоке:))

              И еще пример: мой блог lilumi.org.ua вообще на бесплатном хостинге стоит уже два года, посетителей 400-500 в сутки по данным liveinternet, кеширования нет, автообновляется нормально.
              Так о каких ограничениях вы говорите?
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  плохой хостинг значит, что еще могу сказать.
                  Слышал. Знаю что попросят, сам сменил несколько хостеров, прежде чем нашел нормальный. Но это показатель слабого хостинга, потому что будь там любой другой движок, при большом кол-ве посетителей, случилась бы такая же ситуация с превышением лимитов.

                  Менял, много чего менял — но это у меня называется «наращивание функционала». А к чему вопрос собственно?
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      ок. у меня есть много примеров, где чисто вордпрес с плагинами. Или установка плагинов тоже уже считается «свой двиг»?
                      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Ну не все так радужно. У нас при попытке перехать на новую версию тему так перекосило, что в ужасе откатились обратно. Сейчас пытаемся понять как нам переписать тему так, чтобы оно на 2.8 встало нормально :/
  • 0
    Правильно ли я понимаю, если не стоит галочка «регистрация» — то ничего небудет?
    • +1
      В данном случае злоумышленник вначале должен зарегистрироваться как пользователь, и только потом «играя» с помощью ЧПУ он повышает уровень своего доступа до админа. То есть в этом случае Вы можете быть спокойны. Но есть и другие гадости. Так что обновляться все таки нужно. Тем более что в последних версиях, в общем случае это делается из админки, одним кликом мышки.
    • 0
      будет

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.