В плагине All in One SEO Pack для WordPress обнаружен вредоносный код


WordPressЗлоумышленники приступили к активной рассылке спама с рекламой плагина к WordPress - All in One SEO Pack. В тексте письма злоумышленники указывают, что Pro-версия плагина для поисковой оптимизации теперь доступна бесплатно.

Злоумышленники начали рассылать сообщения в довольно оптимальное время. Рассылка началась в прошлую пятницу, когда многие производители делают неимоверные скидки на свои продукты. Злоумышленников выдала фраза о том, что обладатель этого письма стал 25 из 100 избранных. Если бы не этот момент, то наверняка обнаружить подвох не удалось.

Анализ "подарочного" плагина показал, что за основу был взят подлинный код плагина "All in One SEO Pack". Однако, в следствии модификации, в его списке файлов появился сценарий

  • aioseop_class.php

выполняющий PHP код по адресу

  • hxxp://91.239.15.61/o1.txt


Таким образом, злоумышленники переписывали содержимое файла /index.php, который в дальнейшем использовал curl для подключения к адресу

  • hxxp://91.239.15.61/java/google.php

Vredonosnii plagin All in One SEO Pack

Затем выполнялся код, который присутствовал по вышеуказанному адресу. Другими словами, шла обычная эксплуатация уязвимостей в браузерах пользователей, перенаправления на внешние сайты и т.п.


Обновлено (06.12.2013 17:37)