Gần đây, một plug-in (thành phần mở rộng) WordPress giả mạo có chứa backdoor đã bị phát hiện. TIn tặc đứng sau vụ việc đã cố gắng lừa người dùng tin đây là một plug-in phổ biến có hơn 100.000 lượt cài đặt và hoàn toàn an toàn khi tải về.
Một số plug-in WordPress phổ biến. Nguồn: WPBeginner.
Lạm dụng tính phổ biến của plug-in SpamShield Anti-Spam, một công cụ được thiết kế để giúp các trang web nền tảng WordPress chống lại nhiều loại thư rác, hacker đã chèn backdoor được gọi là X-WP-SPAM-SHIELD-PRO vào plug-in này.
Khi phân tích X-WP-SPAM-SHIELD-PRO, các nhà nghiên cứu bảo mật của Sucuri đã khám phá ra rằng nó có cấu trúc và tên tệp hợp pháp, nhưng tất cả nội dung bên trong đều giả mạo. Nó được thiết kế để vô hiệu hóa các plug-in khác, bao gồm các chức năng liên quan đến an ninh và bảo mật dữ liệu.
Một trong những tệp tin bên trong backdoor này có tên là class-social-facebook.php. Thay vì chặn mọi thư rác trên Facebook như tên gọi của mình, nó sẽ vô hiệu hóa tất cả các plug-in quan trọng trong WordPress. Vì thế, nó hoàn toàn có thể làm hỏng trang web.
Hai tệp khác, class-term-metabox-formatter.php và class-admin-user-profile.php, được thiết kế cho mục đích thu thập dữ liệu. Nó sẽ thu thập danh sách tất cả các quản trị viên trong WordPress.
Một tệp tin khác, được gọi là plugin-header.php, sẽ thêm tài khoản quản trị viên bổ sung – mw01main – vào trang web. Tệp có chứa mã để xóa chính nó, đồng thời tiết lộ tên người dùng, mật khẩu và email mà hacker có thể sử dụng để đăng nhập vào trang web bị xâm nhập.
Plug-in giả mạo hoàn toàn có thể làm hỏng trang web. Nguồn: SC Magazine.
Các plug-in giả mạo cũng bao gồm mã thông báo, giúp hacker sẽ biết được mỗi lần quản trị viên kích hoạt nó trên trang web. Theo đó, hacker sẽ ngay lập tức biết trang web nào vừa mới tải nhầm plug-in chứa backdoor.
Ngoài thông tin người dùng và mật khẩu, backdoor còn thu thập rất nhiều thông tin từ các trang web bị xâm nhập và gửi cho hacker như thông tin các plug-in đang hoạt động, địa chỉ IP của máy chủ và các dữ liệu nhạy cảm khác.
Chức năng cập nhật của backdoor cũng đã được phát hiện. Nó cho phép hacker tải lên bất cứ thứ gì vào trang web dưới dạng file ZIP, sau đó giải nén nó vào hệ thống bị xâm nhập và xóa lưu trữ.
Các nhà nghiên cứu còn kết luận rằng các backdoor còn có liên quan đến plug-in nổi tiếng của WordPress là All In One SEO Pack. Do đó, quản trị viên chỉ nên tải các plug-in từ nguồn đáng tin cậy, cũng như kiểm tra và cập nhật các cài đặt đã được thiết lập thường xuyên.
Theo tto