Nizozemská společnost Fox-IT, která se zabývá IT bezpečností, zveřejnila zpráva o nebezpečném backdooru, který nazvala CryptoPHP. Ten ohrožuje redakční systémy WordPress, Joomla! a omezeně i Drupal. Většina redakčních systémů ale není napadena překonáním bezpečnostních opatření. Jednoduše si jej tam nahrají lidé sami, protože je zláká využít zdarma jinak placených šablon anebo pluginů, které jsou hodně rozšířené. Prostě si je stáhnou sami.
Musím uznat, že je opravdu fascinující jak celý backdoor a následné napadení funguje. CryptoPHP se umí aktualizovat, napadený CMS zavolá ovládací server, že je připravený k použití a v případě, že ten je nedostupný dokonce pošle email na záložní adresy. Zpráva je opravdu detailní a popisuje jak vše teoreticky funguje. Obsahuje i ukázky zdrojového kódu s vysvětlením. Líbí se mi hlavně pasáže o komunikaci mezi napadeným webem a ovládacím serverem. Rozhodně hezký studijní materiál :)
Díky této detailní zprávě už také hostingy mohli začít se scanováním zákaznických účtů. CryptoPHP se dá odhalit pomocí souboru social.png, který obsahuje PHP kód. Koukal jsem že u Ebola jej hledají podle názvu a velikosti. U Wedos na to mají zase svoje nástroje, které hledají nebezpečné funkce. Co jsem se poptal, tak počet napadených webů jde zatím do desítek čistě v ČR. Fox-IT odhaduje, že budou napadeny tisíce redakčních systémů po celém světě. No uvidíme kolik lidí stahuje šablony a pluginy z warez webů :)
Poučné čtení, odhalit takový kód není vůbec jednoduché, rozhodně inspirace i pro ty, co nepoužívají warez šablony a pluginy :)
No mě zrovna weby nějaký virus napadl a měl jsem to na 2 dny odstavené, ale paradoxně šlo o útok na free plugin a free šablony. Šlo to přes Google XML sitemaps plugin a pak ještě nějaké klasické free šablony z webu magpress.com
Radek: máš k tomu napadení Google XML sitemaps víc informací? Byl stažený/instalovaný z wordpress.org a aktualizovaný? Já ho totiž taky používám :)
No moc jsem to nesledoval, jen to mi to poslali z Wedosu, že tam je někde chyba, tak jsem to na pár webech smazal. Ale je zajímavé, že na jednom multihostu to blbnulo jen u 2 webů a dalších cca 5 bylo bez problému a všechny weby mají stejný plugin. Už ale nevím, kde jsem ho vzal, imho mám dost starou verzi (je vlastně možné, že ty napadené byli ze staré verze pluginu, kterou mám ještě u sebe na pc a ty co byli v pořádku už byly z WP.org)
Taky jsem to viděl. Jeden známý si stáhl přes torrent Pretty link PRO a do týdne měl hackutý web. Všem doporučuji stahovat pluginy i šablony výhradně z wordpress.org, tak prý prochází nějakým testem. Navíc používat službu jako cloudflare či incapsula. Incapsula má ve verzi zdarma možnost obezit booty i lidi dle destinace. Taky je tam ochrana přihlašovací stránky :)
Človek zaujímajúci sa len o svoje hobby a píšuci o tom weby je v podstate v ťažkej situácii, ak by nečítal blogy, ako je tento. Nedávno som kamošovi vysvetľoval, žerrpečo by si dal niektotú námahu hacknúť šablóny wordpressu a dávať ich niekomu zadarmo, keby z toho niečo nemal. Nechcel mi rozumieť. Ja mám radšej šablóny a pluginy z overeného zdroja.
Pro lidi, kteří chtějí jen blogovat a nemají zkušenosti s programováním je ideální nainstalovat plugin Wordfence a jednou za čas projet web. Porovnává u všech nainstalovaných součástí změnu oproti orginálu na wordpress.org a umí infikované soubory i nahradit. Pokud používáš čistě věci z wordpress.org tak tohle je první pomoc :)
Díky za informace, preventivně jsem projel projekty a naštěstí mě nic takového nestihlo. Ode dneška pojedu pluginy i šablony pouze z oficiálek.