Pipdig Обновления P3 Plugin после отчетов разоблачить поставщика Backdoors, встроенный Kill Switch, и вредоносный Код DDoS

В минувшие выходные, Pipdig, небольшая коммерческая тема компании, был в центре скандала после нескольких докладов подвергаются литания неэтичных дополнений кодекса его Pipdig Power Pack (P3) плагин.

В пятницу, 29 марта, аналитик угрозы Wordfence Майки Veenstra опубликовал доклад с кодом примеры бэкдоров Pipdig встроенный в их плагин, наряду с некоторыми сомнительными и сомнительными дополнениями к коду.

«Мы подтвердили, что плагин, Pipdig Power Pack (или P3), содержит код, который был запутан с вводящими в заблуждение переменных имен, функциональных имен и комментариев, с тем чтобы скрыть эти возможности», veenstra сказал.

К ним относятся непроверенные сбросить пароль на жестко закодированную строку, которая была намеренно заслонена комментариями кода, указывающими, что она была добавлена для «проверки новых социальных каналов для добавления в navbar». Veenstra также продемонстрировал, как плагин содержал код для недостоверного удаления базы данных, в котором команда Pipdig может удаленно уничтожить любой сайт WordPress сайт с помощью плагина P3.

Код для удаленного удаления сайта был удален в версии 4.8.0, но он по-прежнему вызывает беспокойство у пользователей, которые не обновились. Майкл Уотерфолл (Michael Waterfall), инженер iOS в ASOS, протестировал функцию «переключателя убийства» и продемонстрировал, что она по-прежнему работает с предыдущими версиями.

Расследование Veenstra также обнаружило сомнительные удаленные звонки в событиях плагина, нераскрытый контент и перезаписи конфигурации, а также список популярных плагинов, которые немедленно деактивируются при активации P3 без ведома пользователя. Он обнаружил, что некоторые из этих плагинов деактивированы вместе с админ-инитом, поэтому любые попытки пользователя активировать плагины не будут прилипать.

Wordfence оценки P3 плагин иметь базу установки 10000-15000 сайтов. Изменения, внесенные в версию 4.8.0 плагина, не прозрачно определены в журнале изменений, поэтому пользователям нелегко узнать, что изменилось. Фильтрация содержимого и деактивация плагина остаются в последнем выпуске. Эти типы завуалированных функций, выполняемых без разрешения, могут иметь непредвиденные последствия для сайтов, использующих плагин, который нетехнические пользователи могут не иметь возможности исправить себя.

Pipdig P3 Plugin выполнил DDoS-атаку на сайт конкурента

Джем Тернер, внештатный веб-разработчик, базирующийся в Великобритании, опубликовал длительный анализ плагина P3 в тот же день, что Wordfence выпустила свой анализ. Она просверлила вниз дальше в удаленных запросов, демонстрируя, как Pipdig использует плагин P3 для выполнения DDoS-атаки на конкурента, который также предоставляет WordPress темы и услуги установки для блоггеров. Код запускает почасовую работу cron на сайтах пользователей, эффективно используя серверы своих клиентов для отправки вредоносных запросов на сайт конкурента.

Комментарий кода говорит нам, что это «проверка CDN (сеть доставки контента) кэш». Нет. Это выполняет запрос GET на файл (id39dqqm3c0’license’h.txt) сидел на pipdigz.co.uk, который вчера утром вернулся «https://kotrynabassdesign.com/wp-admin/admin-ajax.php» в ответ тела.

Каждый час ночь и день, без какого-либо ручного вмешательства, любой блоггер работает плагин pipdig отправит запрос с поддельными пользовательского агента на «https://kotrynabassdesign.com/wp-admin/admin-ajax.php» со случайным числом строки прилагается. Это эффективно выполняет небольшой dDoS (Распределенный отказ от обслуживания) на сервере kotrynabassdesign.com.

Тернер также связался с Kotryna Bass, конкурент Пипдиг, который сказал, что она связалась со своим хозяином, обнаружив, что ее admin-ajax.php файл был под какой-то атаки. Обмены Басс с ее хозяином также опубликованы в докладе Тернера.

Пост Тернера объяснил, как P3 плагин код Pipdig манипулировали ссылки, чтобы указать на свои собственные продукты и услуги, когда пользователь включает в себя ссылку на конкурента в содержании:

Здесь у нас есть плагин pipdig в поисках упоминаний о «blogerize.com» со строкой разделить на две части и вернулся — concatenated — чтобы сделать его труднее найти упоминания о конкурентах при выполнении массы «Найти в файлах» через плагин (среди прочего). Когда плагин находит ссылки на blogerize.com в содержании блоггера (сообщения, страницы), они обменялись ссылкой на «pipdig.co/shop/blogger-to-wordpress-migration/», т.е. pipdig собственного блога миграционных служб. Замена этих ссылок из увеличить ПРЕИМУЩЕСТВО SEO pipdig, и подавляющее большинство блоггеров не заметят switcheroo (особенно, если страница / пост был отредактирован, ссылка на blogerize появится в бэкэнд, как обычно).

Плагин не запрашивал разрешения пользователей перед выполнением каких-либо из этих действий, и большинство из них были реализованы с запутанный код. Расследование Тернера также охватывает, как плагин P3 может собирать данные и изменять пароли админа. Многие из выводов совпадают с анализом Wordfence.

«Я знал, что Wordfence связался за мнение, хотя я не знал, что они писали сообщение, и наоборот», сказал Тернер. «Я не был удивлен, что они писали об этом, хотя, учитывая риск для пользователей WordPress».

Она была в контакте с властями в отношении неэтичной практики кодирования Пипдига и нарушения конфиденциальности.

«С моей стороны вещей, я был в контакте с действиями Мошенничества (представил доклад через свой веб-сайт) и NCSC (который указал мне на действия мошенничества и дал мне номер для вызова). Со стороны pipdig, Есть угрозы судебного иска в своем блоге, но я ничего не получил еще «.

Общественный ответ Пипдига юбки критические проблемы

Pipdig креативный директор Фил Clothier опубликовал общественный ответ от компании, которая открывается, характеризуя последние расследования, как «различные обвинения и слухи, распространяющиеся о pipdig» и включает в себя эмоциональный призыв о том, как тревожные последние события были для его компании. Он утверждает, что его команда и их сторонники подвергаются преследованиям.

После нажатия из 4.8.0 версия плагина P3, удаление некоторых, но не все наступательные код, Clothier выбирает формат стиля для своего поста, поставив каждый вопрос в настоящее время:

Вы DDOS конкурентов?
Нет.

Вы «убить» сайты?
Нет!

У вас есть возможность убивать сайты через pipdig Power Pack?
Нет

Что касается функции «убить переключатель», они встроены в, который обнаруживает все таблицы с приставкой WordPress и падает каждый из них, Clothier сказал, что это просто функция сбросить сайт обратно в его настройки по умолчанию. Он намеренно исказил то, что он делает:

В старой версии плагина была функция, которая могла быть использована для сброса сайта к настройкам по умолчанию. Эта функция не имела риска злонамеренного или непреднамеренного использования. Я могу сказать категорически, что не было никакого риска для вашего сайта, если вы используете тему pipdig. Эта функция была выкопана и помечена как «Убить переключатель» для максимального негативного воздействия на нас.

Clothier утверждает, что функция была доступна в P3 плагин в июле 2018 года, когда третья сторона начала размещение Pipdig темы для продажи на своем собственном сайте:

Третья сторона смогла скачать все наши темы незаконно и разместить их на клон нашего собственного сайта. Это включало в себя предварительные просмотры наших тем и возможность приобрести их. Мы были впервые предупреждены об этом люди, которые приобрели тему pipdig оттуда, но были выводы, что некоторые функции не работают правильно. После расследования мы обнаружили, что жертва приобрела тему у третьей стороны, думая, что это мы. Третья сторона не только получила финансовую выгоду от оплаты темы, но и использовала ее как способ впрыскивать вредоносные программы и объявления на сайт жертвы. Функция сбросить была введена в действие для того, чтобы удалить способность третьей стороны провести предварительный просмотр сайтов с нашими темами. Это сработало, и с тех пор они исчезли. Функция была удалена в более поздней версии плагина.

Это ложное утверждение, как Wordfence указал в обновленной статье. Первый экземпляр кода, ответственного за удаление базы данных, был совершен плагином в ноябре 2017 года.

Компания не смогла решить наиболее важные проблемы, представленные в анализе Wordfence в своем первом проходе при выпуске публичного заявления. Вместо этого, по вопросу координации DDoS-атаки на конкурентов, Пипдиг обвиняет пользователей и предполагает, что они, возможно, добавили URL-адрес конкурента на свои сайты.

«Мы сейчас изучаем, почему эта функция возвращает этот URL», сказал Clothier. «Однако, похоже, предположить, что некоторые из «Автор URL-адреса» были установлены на «kotrynabassdesign.com». В настоящее время мы не знаем, почему это так, или же владелец сайта намеренно изменил это «.

Дальнейшие исследования, опубликованные Wordfence сегодня показали, что Pipdig также добавил DDoS код в свои шаблоны Blogger и активно выдачи вредоносных запросов до вчерашнего дня:

Во время расследования Pipdig в WordPress плагин и темы, мы также наткнулись на некоторые любопытные код, связанный с их Blogger темы. Этот код является частью предполагаемой DDoS-кампании Пипдига против своего конкурента, и был активен до 1 апреля, через четыре дня после того, как Пипдиг отрицал такое поведение.

Некоторые из тем Blogger Pipdig были подтвержено для того чтобы сделать внешние звоноки JavaScript к серверу Pipdig, специфически к сценарию hXXps://pipdigz». со.» uk/js/zeplin1.js.

31 марта, когда расследование стало достоянием общественности, Пипдиг удалил свой публичный репозиторий Bitbucket и заменил его на «чистый», удалив три года истории фиксации. Wordfence и многие другие клонировали репозиторий, прежде чем он был удален и сохранены снимки страниц, чтобы привести в расследовании.

Публичное заявление Пипдига содержит ряд других ложных утверждений, изложенных в последующей статье Wordfence с примерами кода. Clothier закрывает статью литья aspersion на прессе, предположительно, чтобы побудить клиентов не доверять тому, что они читают из других источников.

Я связался с Pipdig за их комментарий по последним событиям, но Clothier отказался отвечать на любой из моих вопросов. Одним из них было то, почему плагин отключает плагин Bluehost в кэширование без информирования клиентов.

Клотье сказал, что у него нет никаких комментариев, кроме того, что он сказал в публичном заявлении, но призвал всех, кто заинтересован читать новые комментарии, добавленные в код в версии 4.9.0:

Мы также обновили версию 4.9.0 плагина, который включает в себя дополнительные комментарии в коде, который, мы надеемся, поможет прояснить такие вещи, как проблемы с кэшированием Bluehost и фильтром the’content(.

Если кто-то не уверен, мы рекомендуем обновлять последнюю версию, как всегда. Однако мы также утверждаем, что предыдущие версии не имели серьезных проблем тоже.

Пипдиг отказался отвечать на вопросы о лицензировании, но продукты, как представляется, не GPL-лицензии. Возможно, именно поэтому компания сочла это в рамках своих прав принять меры в отношении тех, кто, по их мнению, «украл» их темы.

Pipdig Клиенты Доля Смешанная реакция на сообщения о поставщика Backdoors и DDoS-атак

В то, что, пожалуй, один из самых наглых злоупотреблений я когда-либо видел от темы компании в истории WordPress, пользовательская база Pipdig неосознанно были использованы для целевой компании конкурентов. Независимо от мотива компании в борьбе с несанкционированным распространением их тем, эти типы бэкдоров и нераскрытых перезаписей контента не оправданы. Они охотятся на доверие пользователей и в этом случае жертвами были в первую очередь блоггеры.

Одним из наиболее загадочных аспектов этой истории является то, что многие из пользователей Pipdig, кажется, равнодушны к тяжести выводов в этих докладах. Без полного знания внутренней работы продукта, многие клиенты принимают решения, основанные на том, как они относятся к компании, независимо от того, сталкиваются с фактами, которые должны заставить их поставить под сомнение их опыт.

Другие злятся, что их сайты использовались в атаке. Настройка новой темы не является тривиальной задачей для нетехнических пользователей, которым, возможно, пришлось заплатить разработчику, чтобы запустить свои сайты в первую очередь.

«Мой ум абсолютно взорван общественного ответа pipdig», Джем Тернер сказал. «Я понимаю, что они рассчитывали на своих пользователей полностью не-тек фон bamboozle их, и это, конечно, казалось, работает в начале, но любой, кто даже малейшего немного знания кодирования можно увидеть, что они лгут, и я действительно не понять, как они думают, что они сойдет с рук «.

Этот инцидент освещает, насколько нерегулируемым является коммерческий плагин и тематиная экосистема и как мало защиты пользователей от компаний, злоупотребляющих своей властью. Если вы являетесь клиентом Pipdig, пострадавших от этого инцидента, нет никаких гарантий того, что компания не будет строить больше бэкдоров на ваш сайт в будущем. Обновления плагина не рассматриваются каким-либо органом. К счастью, есть несколько действий, которые вы можете предпринять, чтобы создать более безопасную среду для вашего сайта.

Во-первых, ищите GPL лицензированных тем и плагинов, потому что они дают вам больше свобод, как пользователь и совместимы с WordPress ‘юридической лицензии. Продукты, лицензированные GPL, также являются убедительным свидетельством того, что авторы уважают свободы пользователей и общие экономические принципы, которые поддерживает эта лицензия с открытым исходным кодом.

Многие авторитетные тематические компании предпочитают размещать плагины-компаньоны своей продукции на WordPress.org для удобства распространения и доставки обновлений. Официальный каталог не позволяет такого рода теневые практики кодирования, описанные в этой статье, и все плагины пройти обзор безопасности WordPress Plugin команды. Если вы обеспокоены качеством кода и потенциалом для злоупотреблений, сделать небольшое исследование на ваш следующий перспективных коммерческих поставщиков темы или выбрать бесплатный WordPress.org-хостинг атакжем и плагинов, которые прошли более строгий процесс проверки.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: