Dzisiaj miał pojawić się wpis o optymalizacji (pojawi się może wieczorem albo jutro), ale naszą uwagę w logach przyciągnęła mnogość zapytań do wtyczki Background Image Cropper, zwłaszcza do tajemniczego pliku pas.php. Oczywiście nie mamy tej wtyczki ani tego pliku na swoim serwerze, ale skala zapytań, może coś zwiastować, więc postanowiliśmy poszukać tu i tam. Nasze ustalenia i wyniki znajdziecie poniżej. Zapraszam do lektury!
Do czego służy ta wtyczka?
Jak sama nazwa wskazuje, służy ona do docinania zdjęć w tle (i chyba w ogóle jest do docinania zdjęć). Jak się okaże z tekstu poniżej, służy nie tylko do docinania zdjęć, ale jest prawdopodobnie nośnikiem backdoora. W ogóle nie rozumiem używania takich wtyczek. Dokładasz sobie niepotrzebnego backendu obciążającego stronę, a mógłbyś takie rzeczy robić bezpośrednio na komputerze darmowymi programami, np. FastStone Image Viewer.
Drugą rzeczą jest okropny support tej wtyczki. Pomoc techniczna w tym przypadku nie istnieje, bo autor wtyczki odpowiada na jakieś nieistotne pierdoły, a na pytanie o wirusa nawet mu powieka nie drgnęła. A przynajmniej można tak wywnioskować, bo w gorącej dyskusji nie udzielił się ani razu. Za to autorowi posta pomógł inny użytkownik oraz jakiś wolontariusz z ogólnego supportu z wordpress.org. Może kreator nie odpisał, bo uznał, że jest tylko 600 aktywnych instalacji i nie warto sobie zaprzątać głowy. Jak padnie to maksymalnie 600 stron w internecie. Z drugiej jednak strony ma aż… 3 pytania w ciągu 5 lat zadane w dziale pomocy, więc ciężko uwierzyć, że nie znalazł czasu na odpisanie w tak ważnym temacie.
Przy okazji jak będziecie testować jakaś nową wtyczkę, to sprawdźcie, jak odpowiada support, bo powyższy plugin jest idealnym przykładem, jak autor olewa problemy ludzi, którym zaproponował dane rozwiązanie. Rozumiem, że ludzie mogą być zapracowani i nie mieć czasu, ale brak zainteresowania w przypadku, gdy Twoja wtyczka wykazuje oznaki kompromitacji jest sygnałem, że nie warto stosować twoje rozwiązania. Generalnie nic o autorze nie wiem, ale jakbym go zobaczył przy innym projekcie, to raczej bym nie skorzystał.
Kolejne ślady
Następną rzecz jakąś znaleźliśmy, to był wpis z forum stackexchange.com. Swoją drogą też fajne forum do szukania informacji o małych i dużych problemach w WordPressie. Jednak wracając do tematu post – do którego linkujemy – nie mówi jednoznacznie, że to Background Image Cropper był odpowiedzialny za umożliwienie ataku na stronę autora wpisu. Jednak jak nie patrzeć – za często występuje on w logach, które ta osoba udostępniła. Co ciekawe wpis jest z tego samego okresu, co gorąca rozmowa, którą wspominam w akapicie wyżej. Zatem jak widzicie, to nie był to odosobniony problem w tym czasie, chyba że wpisy mają tego samego autora.
Żeby być uczciwym, zwracam uwagę, że powodem zhakowania strony z posta mogło być łączenie się przez nieszyfrowane połączenie FTP i nieautoryzowane przejęcie loginu i hasła. Dlatego zawsze pamiętajcie o zielonej kłódce 🙂
Nic więcej nie znaleźliśmy z 2018 roku i kolejna informacja pojawia się z 2019 roku ze strony, która raportuje o zainfekowanych adresach url, a dokładnie ta strona https://urlhaus.abuse.ch/url/245551/. Problem dotyczył chińskiego sklepu online, który sprzedaje jakieś imadła czy coś takiego. Co ciekawe nawet Google nie odnotował infekcji, poza tym nie ma żadnego pełnego raportu, jaki to rodzaj zagrożenia dokładnie. Jednak pojawienie się Background Image Cropper daje znowu domyślenia.
Specjaliści odradzają
Kolejny chiński ślad pojawia się w maju 2020 i jest artykuł jakiejś firmy informatycznej ITbulu z Chin, która ostrzega przed tą wtyczką, a nie jaki Pan Lao Jiang doradza co zrobić, jeśli mamy taką wtyczkę – odinstalować, poczyścić, etc. Nie znam chińskiego w żadnej wersji, ale Google Translator zdradza nam, że wpis powstał na podstawie zgłoszeń internautów. Czyli dziura we wtyczce jakieś małe hakerskie żniwo zebrała w Chinach. Kto by pomyślał! 😉 Z reguły jest odwrotnie… Tu macie pełne tłumaczenie.
Okazuje się, że chińscy specjaliści mieli rację, bo w tym samym miesiącu pojawia się dokładniejsza analiza złośliwej aktywności odnotowanej w tytułowej wtyczce, a dotyczyła ona strony hostowanej u francuskiej firmy OVH. Nie znamy dokładnej domeny, ale znamy ip serwera z tego raportu, gdzie możecie przejść do jego pełnej wersji. Werdykt jest jednoznaczny – złośliwa aktywność!
Podsumowanie
Może sama wtyczka nie jest wirusem, ale ma jakiegoś buga, który pozwala dostać się na stronę bez autoryzacji nie do końca uczciwym osobom lub wirusom. Co ciekawe na stronach z informacjami podatnościach nie znalazłem żadnej wzmianki o tej wtyczce, ale chyba tylko dlatego, że jest tak mało istotna, że nie warto o niej wspominać. My jednak wychodzimy z założenia, że warto wspominać o każdej dziurze, czy dotyczy ona 105 stron, czy 105 tysięcy. Tym bardziej że autor absolutnie ignoruje swoje „dzieło” pod względem bezpieczeństwa.
Jednak trzeba brać pod uwagę, że taka ignorancja autorów może dotyczyć o wiele większej ilości wtyczek, a my piszemy akurat o tej, bo bardzo wzrosła liczba zapytań do tej wtyczki na naszym serwerze. Być może ktoś z cyberprzestępców odkrył kolejną dziurę w tej wtyczce…? Tak czy owak, tutaj opisaliśmy jak ograniczyć taki wektor ataku w 5 prostych radach. Miłej lektury!