Вчора вранці до нас тривожно звернувся за допомогою власник, сайт якого Google вирішив заблокувати за роздачу шкідливого коду.
Сайт містить шкідливий код
Домен помічений був 203koko в єврозоні, але можуть бути й інші. Шкідливого коду відразу знайти не вдалося, сам сайт нічого не показував, як ніби нічого не було. «Поколупатися» ще кілька годин намагаючись викликати показ комашки, був помічений свіжа публікація на форумах WordPress.org. Дізнавшись заповітний «203koko» стали збиратися все більше і більше людей, що потрапили в схожу ситуацію.
Плагін FancyBox for WordPress
Через годину обговорення стало зрозуміло, що об'єднує нас один загальний плагін під назвою FancyBox for WordPress. Плагін виводить фотогалереї та інший контент в модальних вікнах. Дуже популярний плагін, більш 500,000 завантажень (+ 1000 скачувань в тиждень), але дуже старий.
Подивившись на логи Кешована сторінок за останню добу, був знайдений потрібний шматок коду всередині виведення скриптів плагіна FancyBox for WordPress, і стало зрозуміло, що дійсно FancyBox for WordPress замішаний у всьому цьому.
Функція виведення має опцію додаткового виведення даних з бази без будь-якої фільтрації, але в базі даних шкідливого коду не було.
Було вирішено тоді розібратися, як він туди міг потрапити, і незабаром ми виявили уразливість в функції збереження налаштувань. Будь-хто міг просто зберегти опції для плагіна FancyBox for WordPress, включаючи опцію додаткового виведення і змісту. Саме так туди і потрапив шкідливий код, а через деякий час зник. Можливо атакуючі потихеньку лише відчували води цієї уразливості перш ніж масово експлуатувати.
Даний вид атаки називається збереженим Міжсайтовий Скриптінг (Persistent XSS). Уразливість є однією з найпоширеніших.
Щоб убезпечити себе не забудьте завантажити нашу безкоштовну електронну книгу про безпеку в WordPress.
Будьте пильними і удачі вам!