Pewnie większość z Was spotkała się w ostatnich dniach ze złośliwymi przekierowaniami, które po pewnym czasie prowadzą nas do gotowego skryptu na pastebin. Tak, chodzi o problemy z wtyczką WP GDPR Compliance, która chwilowo zniknęła z repozytorium WordPressa, ale po naprawieniu krytycznych błędów (a może inaczej – poważnej luki bezpieczeństwa) powróciła do łask i na nowo widnieje w repo.
Wykryta luka w bezpieczeństwie pozwalała na eskalacje uprawnień, tym samym nieupoważnione osoby (atakujący) mógł zdobyć uprawnienia do zasobów jakie w normalnym przypadku dla osób postronnych nie są dostępne. Tym samym jeśli korzystacie z wtyczki na swoich stronach i jeszcze nie zauważyliście dziwnych zmian na nich to powinniście ją jak najszybciej zaktualizować do wersji 1.4.3. Jeśli jednak już coś się dzieje, macie przekierowania na inne strony bądź na liście użytkowników są osoby o loginie podobnym do t2trollherten to niezwłocznie skorzystajcie z formularza tutaj, a pomożemy jak najszybciej pozbyć się intruzów. Pojawienie się nowych administratorów to dopiero początek, a infekcja WordPressa już nastąpiła.
Po wydłużonym czasie infekcji na stronach wirus może tworzyć przekierowania, infekować bazę danych co skutkuje podmianą adresów skryptów na różne sposoby. Nie warto tego ignorować, gdyż ów atak to tylko zapowiedź kolejnych. Hakerzy ewidentnie przygotowują tym samym listę stron podatnych lub zainfekowanych, aby za jakiś czas wykorzystać je choćby do rozsyłania spamu.
Mieliście nieaktualną wtyczkę WP GDPR Compliance do dziś to liczcie się z tym, że gdzieś w bazie jak i plikach może kryć się backdoor, pozornie nieszkodliwy plik, a robi znacznie więcej niż myślcie, a między innymi daje dostęp atakującym do całego serwera, a co za tym idzie do wszystkich stron jakie na nim posiadacie.
Na chwilę obecną mając nieaktualną wtyczkę pozwalamy także atakującym na włączenie możliwości rejestracji dla nowych użytkowników poprzez podmianę opcji users_can_register. Dzięki temu atakujący może założyć nowe konto na naszej stronie, aby następnie podmienić opcję default_role i nowego usera ustawić jako administratora.
Co ciekawsze to nie wszystko, gdy myślicie że wszystko już w porządku to problem może nawracać w nieskończoność, a wszystko dlatego, że w Wp-cron znajduje się dodatkowe zadanie mające na celu zafundowanie Wam powtórki z rozgrywki. Od fantazji atakującego zależy jak często nawroty mają miejsce, ale to od Was zależy kiedy dacie mu prztyczka w nos.
Ciekawy artykuł 🙂
Dobrze, że o tym piszesz, ale mnie bardziej zastanowiło, co robić żeby nie stracić na tym. Przecież blog to bardzo dużo pracy i zaufania ze strony odwiedzających.