- تاریخ ثبتنام
- 2014-01-12
- نوشتهها
- 889
- پسندها
- 0
- امتیازها
- 16
- سن
- 37
- محل سکونت
- تهران، پاسداران
- وب سایت
- www.irsapro.ir
افزونه جعلی وردپرس سئو (SEO) با نام WP-Base-SEO بیش از چهارهزار سایت وردپرسی را در بر اساس گزارش متخصصان امنیتی طی دو هفته گذشته آلوده کرده است. هدف هکرهای در پشت پرده این بدافزار این بوده تا در شکل یک افزونه وردپرسی به ظاهر قانونی خود را از دیده ها مخفی کرده و در عین حال یک بکدور به حساب کاربری سایت وردپرسی قربانی ایجاد کنند.
[h=2]افزونه جعلی وردپرس WP-Base-SEO[/h] افزونه جعلی وردپرس WP-Base-SEO کد خود را از یک پلاگین موجود سئو به سرقت برده و کمی آن را دستکاری کرده تا به نظر قانونی رسیده. به این شیوه سایت های وردپرسی که به جستجو افزونه ها هستند آن را به عنوان یک پلاگین معتبر سئو تلقی می کنند.
با نگاهی نزدیک تر و آزمون این افزونه می توان فهمید که عملیات مخرب خود را در قالب یک درخواست PHP eval با انکودینگ Base64 اجرا می کند. Eval یک تابع PHP می باشد که کدهای اختیاری PHP را اجرا می کند. این تابع معمولا برای اهداف مخرب استفاده شده و php.net توصیه می کند از آن استفاده نکنید.
محتوای مخرب این افزونه در فایل wp-seo-main.php در مسیر زیر یافت می شود :
/wp-content/plugins/wp-base-seo/wp-seo-main.php
در نگاه اول فایل به نظر قانونی می رسد و مرجعی به پایگاه داده وردپرس دارد و حاوی مستنداتی مبنی بر نحوه کار پلاگین ارایه می کند. محققان امنیتی بر روی دو فایل موجود در پوشه پلاگین WP-Base-SEO تمرکز کردند. فایلی با نام wp-seo.php وجود دارد که با استفاده از عبارت require_once فایل دوم با نام wp-seo-main.php را در خود درج می کند. فایل wp-seo-main.php از تابع و اسامی متغیرها بنا به نصب استفاده می کند. اسامی همچون wpseotools_on_activate_blog و base_wpseo_on_activate_blog
به این معنی که هر زمان قالب درون مرورگر بارگذاری می شود درخواست پایه گذاری می شود. بر اساس آنالیزهای انجام شده توسط SiteLock , تکنیک های مبهم سازی این پلاگین به شدت موفقیت آمیز بوده و هست. به صورتیکه با وجود اسکن های بدافزار زیادی که انجام شده این پلاگین خود را مخفی کرده است. این موضوع بیش از پیش نیاز به امنیت اپلیکیشن های وب و وجود اسکنرهای آسیب پذیری قدرتمند برای حذف خودکار بدافزارها را به امر حیاتی تبدیل کرده است
[h=2]افزونه جعلی وردپرس WP-Base-SEO[/h] افزونه جعلی وردپرس WP-Base-SEO کد خود را از یک پلاگین موجود سئو به سرقت برده و کمی آن را دستکاری کرده تا به نظر قانونی رسیده. به این شیوه سایت های وردپرسی که به جستجو افزونه ها هستند آن را به عنوان یک پلاگین معتبر سئو تلقی می کنند.
با نگاهی نزدیک تر و آزمون این افزونه می توان فهمید که عملیات مخرب خود را در قالب یک درخواست PHP eval با انکودینگ Base64 اجرا می کند. Eval یک تابع PHP می باشد که کدهای اختیاری PHP را اجرا می کند. این تابع معمولا برای اهداف مخرب استفاده شده و php.net توصیه می کند از آن استفاده نکنید.
محتوای مخرب این افزونه در فایل wp-seo-main.php در مسیر زیر یافت می شود :
/wp-content/plugins/wp-base-seo/wp-seo-main.php
در نگاه اول فایل به نظر قانونی می رسد و مرجعی به پایگاه داده وردپرس دارد و حاوی مستنداتی مبنی بر نحوه کار پلاگین ارایه می کند. محققان امنیتی بر روی دو فایل موجود در پوشه پلاگین WP-Base-SEO تمرکز کردند. فایلی با نام wp-seo.php وجود دارد که با استفاده از عبارت require_once فایل دوم با نام wp-seo-main.php را در خود درج می کند. فایل wp-seo-main.php از تابع و اسامی متغیرها بنا به نصب استفاده می کند. اسامی همچون wpseotools_on_activate_blog و base_wpseo_on_activate_blog
به این معنی که هر زمان قالب درون مرورگر بارگذاری می شود درخواست پایه گذاری می شود. بر اساس آنالیزهای انجام شده توسط SiteLock , تکنیک های مبهم سازی این پلاگین به شدت موفقیت آمیز بوده و هست. به صورتیکه با وجود اسکن های بدافزار زیادی که انجام شده این پلاگین خود را مخفی کرده است. این موضوع بیش از پیش نیاز به امنیت اپلیکیشن های وب و وجود اسکنرهای آسیب پذیری قدرتمند برای حذف خودکار بدافزارها را به امر حیاتی تبدیل کرده است
