Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
< >
1 2 3 4 5

Більше половини безкоштовних шаблонів для wordpress заражені або уразливі

На просторах інтернету можна зустріти безліч статей, покликаних унеможливлювати користувачів про небезпеку установки безкоштовних теми, викачаних ні з оригінальних сайтів. Кажуть, що в цих шаблонах можуть міститися віруси і інший шкідливий код. Ми вирішили це перевірити, тому зробили аналіз 2350 русифікованих шаблонів для Wordpress, які блогери використовують на своїх сайтах.

Результат нас неприємно здивував. Більше половини, а точніше 54%, виявилися зараженими хакерськими веб-Шелл, бекдор, black hat seo ( "спам") посиланнями, а також містили скрипти з критичними уразливими.

Більше половини, а точніше 54%, виявилися зараженими хакерськими веб-Шелл, бекдор, black hat seo ( спам) посиланнями, а також містили скрипти з критичними уразливими

Теми і шаблони для Wordpress ми скачували з популярних сайтів-каталогів, що пропонують російськомовні преміум і тематичні шаблони:

  1. best-wordpress-templates.ru (99% заражених або вразливих тем)
  2. wordpress-ru.ru (99% заражених або вразливих тем)
  3. wpfree.ru (97% заражених або вразливих тем)
  4. wpfreethemes.ru (16% уразливих тем)
  5. bestwordpress.ru (7% вразливих тем)
  6. wordpresso.ru (3% заражених тим)

Дані сайти були обрані як найбільш популярні, оскільки знаходяться за запитом "безкоштовні теми для wordpress" в першій десятці в результатах пошукової видачі.

Звертаємо увагу на те, що вони не єдині. Існує величезна кількість сайтів-клонів, які пропонують користувачам ті ж архіви з зараженими і уразливими темами. Наприклад, якщо завантажити тему blogdog з іншого сайту, наприклад, wp-templates.ru, то ми побачимо той же хакерський бекдор в файлі comments-popup.php.

За допомогою даного бекдора можна виконувати довільний код на сайті (завантажити веб-шелл, видалити вміст каталогів, вставити вірусний код в шаблони і скрипти, отримати доступ до бази даних і багато іншого), в результаті чого отримати повний контроль над усіма сайтами аккаунта хостингу.

Тільки з сайту wp-templates.ru тему blogdog скачали 309 раз, а в результатах пошуку за запитом "тема wordpress blogdog" знаходиться кілька десятків сайтів-каталогів з шаблонами. За грубими оцінками, сумарна кількість завантажених заражених тим - більше 500 000.

Якої шкоди таять в собі заражені шаблони?

1. Спам-посилання

Переважна більшість (близько 97%) перевірених часом містять код, що розміщує чужий контент і спам-посилання на сторінках блогу. Це так зване "чорне seo" - недобросовісний метод просування сайтів в пошукових системах і накручування пошукових параметрів тИЦ і PR. Як він працює? У момент відкриття сторінки код в файлах header.php, footer.php або functions.php виконує завантаження списку спам-посилань з зовнішнього сайту і розміщує їх на сторінках блогу в невидимому для відвідувачів блоці.

php виконує завантаження списку спам-посилань з зовнішнього сайту і розміщує їх на сторінках блогу в невидимому для відвідувачів блоці

Більш просунутий варіант коду може виконувати кешування завантажених посилань у файлі (зазвичай такий файл має розширення .png або .gif і розміщується в каталозі images теми, щоб не викликати підозру вебмастера). Крім розміщення спам-посилань в невидимому блоці, код може вставляти чужий контент (текст і посилання) на сторінках блогу, а також замінювати окремі слова в тексті на посилання, що веде на чужій сайт.

Крім розміщення спам-посилань в невидимому блоці, код може вставляти чужий контент (текст і посилання) на сторінках блогу, а також замінювати окремі слова в тексті на посилання, що веде на чужій сайт

У шаблонах часто можна зустріти і статичні посилання на чужі сайти. Але вони будуть також спочатку закодовані за допомогою base64 або функції str_rot13.

Але вони будуть також спочатку закодовані за допомогою base64 або функції str_rot13

З урахуванням великої популярності безкоштовних тим, даний метод "чорного" просування досить ефективний, оскільки дозволяє сформувати велику кількість посилань, тому активно використовується недобросовеcтнимі seo оптимізаторами і хакерами для просування сайтів клієнтів або власних проектів.

В результаті роботи шкідливого коду сайт перетворюється в лінкферму, заспамленності "пластиковими вікнами", "віагрою" і посиланнями на сайти для дорослих, втрачає лояльність з боку пошукової системи і відвідувачів, а іноді потрапляє в бан або блокується антивірусним програмним забезпеченням. Ще одним негативним моментом для сайту є також збільшення навантаження на процесор і уповільнення відкриття сторінок блогу, так як при відкритті кожної сторінки виконується підключення до зовнішнього ресурсу.

Приклад зараження шаблону:

Приклад зараження шаблону:

Після декодування:

Після декодування:

Список заражених тим даних фрагментом (379):

111, 2011_New_Look, 3x3-beta, 9blue, ABCMag-1.0, absolutely-green, adult-vod-16, Adult01, aesthete, akira, Aller_au_Cinema, almost-spring, amler, anatomy, AnIrresistableDesire, aquaria_ru, arclite, artistic, Artwork, ASimpleMagazine, atlantia, auto, AutoInsurance-1.0, autopilot, auto_1, awp-dating, Ayumi, AzSands-theme, A_La_Mode_ru, Baseball_Japanese_Soul, beautiful-day, beauty-bling, BeautyEffect, beautypoem, BeautyStyle, benevolence, Bikini_Beauty, bizflare.1.0. 1, Black_Pearl_1, blix, bloggers-cafe, Blogging_Delicious, blue-splash, BlueConcept, blue_flowers, Bouquet_of_Love, Brain_Storming, Broken_Heart_Crane, buick-10, Bulletin_Board, bullseye, Bunny and Teddy, business-wp-theme, business_simple, Business_Talk, Calculating, Call_a_Spade_a_Spade_10, celebrating_matrimony, Cheerful Blues, Chelsea_FC_Theme, Children_and_Toys, Christmas-Night, ChristmasGifts, christmas_bells, Christmas_in_My_Heart, christmas_tree, citrus, City_Journal, Clean Style Orange Black, clg-law, coffee-desk, Co ffeeTime, Coffee_and_TV, cold-spring, Coliseum_Fever, college-theme-with-plugins, ColorBeauty, colorpaper, colourise, Commute_Reader, connections, cook-off, coolflower, CoolMag-1.0, cordobo-green-park, Craftwork, crash, CSSGallery_v1. 10 / CSSGallery_v1.10, Cute_Desire, Cute_Outfits, daily-digest, dance_through_the_music_r, darkforest, darkness, darkoOo, darkride, Deal, Deepest_Blue, DesignMag-1.0, Designora-theme, df_marine, diet, dining_travel, div_clear, DL2 media, doodles_and_swirls, Dream_Works , EachWeek, EchoPress-1.0, EducationBlog, eFinance-1.0, elegance-lite, elegant-grunge, enterium, erotic-black, estranged, euro-city-brown, Evo Dashboard, Ez_Cafe, facebooked, fancy, Fashion_Week, ff-follajes- verdes, field-of-dreams, FinancePress-1.0, FinanceSpot-1.0, firmness.1.0.3, football, forever-autumn, freshart_blue, freshart_orange, fullblown, fullsite, FunnySquares, funride, GeekVillage, Girls Fantasy-Land, girl_in_pink, glaciercar , glamour, Globus-1.0, Golden_Match_ru, googlechrome, go ssipcity, Got_the_Mail, Go_for_Goals, Go_West, greenee-girl, greener-side, greenlight, Green_Breath, gridz.1.0.5, Group_Wedding, Guzel_MagazineNews, Happy_Shopping, hardpressed.1.0.2, healthystyle, healthystyle2, hemingway, holiday-wordpress, HostPro, Hue_Clash_in_Harmony, hypnotist.1.0.1.2, If_Love_Why_Wait, ImpreZZ, im_mr_fitness_r, Indie_Designer, iNews, insurance_ensure_safety_r, Interior_View, Into_The_Wild_r, invert-lite.1.0.2, isis.0.8, island-after-sunset, japan-style, Jasov_1, Josef_Says, Khaki, kiss, kukufall, lale-blog-pastel-tones, lavender_touch, leia-en, let_the_teeth_say_r, lexus, lizardbusiness.1.0.5, logistix, looki-lite.1.0.8.3, love-me-three, lover-paradise, Love_Cup, Love_is_Sharing, MagicalChristmas, Magic_Bean, MassiveNews, Medical-Blog_ru, Merry_Christmas, minimalist, minipress.1.3, mn-flow.0.9, MobileSite, mobius, MoneyTint_10, mons_montis, mountains, mouseit, multiflex, mushblue, mysterious-design, natural- health, navy_spiral, nav_spiral, neo-sapien, neon, newa ge, newdark.1.1.2, NewsGlobe-1.0, NewsPrompt-1.0, newsweek_ru, new_dad, new_mom, nightlight-idea, nightynight, nissan_gtr, nitrous, Nose_for_New, Note Guy, notepad_second, Note_of_Democracy, NovaMag, No_More_Promises, obscorp, oceanwide, Ocean_Kid_ru , olive, ondemand, oneinamillion, Online_Marketing, on_location, On_the_Road, openbook-en, options, overstand, Padangan, painted_life_r, Painters, pamphlet, PaperTrail, photoframe, photoframe2, photographicfilm, piedmont.1.0.2, pink, pink_float, Pink_Valentines, positie , ProFinance-1.0, Puppet, pushing-borders, Quality_Time, Quoting, r8, Radiale-1.0, radiant.1.0.0.9, rainonleaves, raze.1.8, real_estate_r, Real_Madrid_Retro, recipes-blog, redtime, red_city, regulus, rewind.1.0 .5, rockinbizred, rockingreen-leaf-10, Rolling-1.0, route_66_road_trip, Say_You_Do, scruffy, see-you-at-the-beach, serious-business, shine / shine, shiny-green, shinyblue, simpla, Simple Blue, simplejojo, simplestyle, Simple_Pleasure, simple_red_grunge, simplism, sirius, Skateboard Hiking, skeptical, SmartTouch, snowman, snow_does_know_r, socolor-10, Socute, sodelicious_black, Southeast_Asia_View, spa, Spacerama, spacesphere, Speechless, SpringTime, ssss, star-press, starrynight, StartBiz, StartBusiness-1.0, StarTrek, steampunk, stitched , StoryPress-1.0, strips, structure, summer-flowers, Summertime, sunset, SuperTech-1.0, supposedly-clean, Sweet_Family_Shot, Sweet_Palace, s_lady_r, Tea_Time, Tech-Meteor, techlure, Technicolor_Wedding, Techrey1.2, Tembesi, template-green , TemplateMusical, Tender, that-music, think-me, Tick_tack, Time_for_Fun, Toggery_of_Mine, Tomorrow_Never_Dies, Travelist, Travelling_Logbook, typepress, unite.1.1, Vacation_Rentals_Fun, Vector_Flower, velocity, Vento-1.0, vertigo-red-3column, virality.1.0 .5, virtual_recipes, vistalicious, vita, Vows, warmautumn, Weblog-magazine, whinwebworks, why-hello-there.1.0.6, Why_Travel_r, Winter_Fun, winter_stream, With_Pet, wordpress-brown, wordpress_emo, wordsmith-blog, World_through_Dew, wow , WP Pressident, wp-andreas06, WP-City-Vector, wp-story-theme, wp_christmas, WP_Premium, WWW_theme, yashfa, yellow-field, Yoga_Craze

2. Критичні уразливості в timthumb.php

Наступна за популярністю проблема в шаблонах wordpress - це уразливості в скрипті timthumb.php . Даний скрипт дуже популярний серед розробників шаблонів і активно використовується в темах для автоматичного масштабування зображень. У версії 2.8.13 і раніших виявлено кілька критичних вразливостей, що дозволяють виконувати довільний код на сайті і завантажувати довільні файли на хостинг (в тому числі хакерські веб-шелли). Якщо на вашому сайті встановлена ​​одна із старих версій, необхідно якомога швидше відновити її до актуальної зі сховищ timthumb.googlecode.com/svn/trunk/timthumb.php. В іншому випадку всі сайти на ваш обліковий запис хостингу можуть зламати.

3. Бекдор і веб-шелли

І, нарешті, переходимо до найнебезпечнішим і явним ознаками зараженої теми - це наявність бекдор і веб-Шелл.

Ці скрипти надають хакеру повний контроль над файлової системи і базою даних аккаунта: можна управляти файлами і каталогами, розміщувати дорвеи, мобільні і пошукові редіректи, вірусний код в шаблонах і багато іншого. Оскільки на більшості віртуальних хостингів скрипти сайту можуть отримати доступ до файлів сусіднього сайту, скопрометірованнимі виявляються всі сайти власника, розміщені на тому ж акаунті хостингу.

На щастя, веб-Шелл було виявлено всього в 3% перевірених часом каталогу wordpresso.ru (в шаблонах 3_PM, beautygames, blogdog, browntextures, edu_0, gamesstylish, gamingzone, grand-banquet, hostingsite, myfinance_0, pink-cake, PurpleStyle, refresh -your-taste). Проте, необхідно бути на чеку і перед використанням перевіряти теми на наявність хакерських скриптів.

Revisium Wordpress Theme Checker

Ми написали невеликий сканер, який шукає шкідливі фрагменти в темах wordpress.

Перевірте свій сайт за допомогою rwp_checker.php . Раптом ваша тема містить хакерський веб-шелл або вразливість в timthumb?

Як уберегти свій блог від злому через уразливість в шаблонах

  1. Завантажуйте теми тільки з перевірених джерел. Якщо ви завантажуєте комерційну преміум-тему з сайту, де вона розміщена безкоштовно, швидше за все шаблон заражений. Тому в першу чергу від злому блогів на wordpress страждають любителі халяви. Комерційні теми для wordpress потрібно купувати на офіційних сайтах. Це практично виключає шкідливі вставки в шаблонах.

  2. Перевірте викачані теми на наявність шкідливого коду і спам-посилань. Це можна зробити скриптом AI-BOLIT . Всі підозрілі файли перевірте вручну. Для аналізу тим на шкідливі вставки ви також можете звернутися до фахівців.

    Для швидкої перевірки можете скористатися сканером тим rwp_checker.php .

    Чи не рекомендуємо використовувати десктопні антивіруси для перевірки шаблонів. У більшості випадків вони не виявлять нічого підозрілого, так як виявлення шкідливого коду в php скрипти - не їхня профіль.

  3. Якщо на вашому сайті використовується скрипт для масштабування зображень timthumb.php або його модифікації (thumb.php, _img.php тощо), перевірте його версію та оновити до останньої доступної: timthumb.googlecode.com/svn/trunk/timthumb.php

  4. Видаліть всі невикористовувані шаблони з директорії wp-content / themes
    За нашими спостереженнями, користувачі встановлюють не одну, а відразу кілька безкоштовних тим, тим самим збільшуючи в рази ймовірність злому сайту. Якщо тема неактивна, вона все одно дозволяє відкривати шкідливі скрипти з каталогу wp-content / wp-themes / <ім'я теми>, тому не рекомендуємо зберігати колекцію тим безпосередньо на хостингу. Залиште одну, активну, а решта видаліть.

Якщо у вас мало кваліфікації для перевірки шаблонів на наявність шкідливого коду, рекомендуємо звернутися до фахівців з інформаційної безпеки або досвідченим веб-майстрам.

Григорій Земсков, компанія "Ревізіум" , Дослідження опубліковано на порталі

Як він працює?
Раптом ваша тема містить хакерський веб-шелл або вразливість в timthumb?