Góp ý Tuổi Trẻ Online phiên bản mới Tại đây

Nhiều backdoor ngụy trang dưới dạng plug-in WordPress

03/10/2017 16:07 GMT+7

TTO - Gần đây, một plug-in (thành phần mở rộng) WordPress giả mạo có chứa backdoor đã bị phát hiện. TIn tặc đứng sau vụ việc đã cố gắng lừa người dùng tin đây là một plug-in phổ biến có hơn 100.000 lượt cài đặt và hoàn toàn an toàn khi tải về.

Nhiều backdoor ngụy trang dưới dạng plug-in WordPress - Ảnh 1.

Một số plug-in WordPress phổ biến. Nguồn: WPBeginner.

Lạm dụng tính phổ biến của plug-in SpamShield Anti-Spam, một công cụ được thiết kế để giúp các trang web nền tảng WordPress chống lại nhiều loại thư rác, hacker đã chèn backdoor được gọi là X-WP-SPAM-SHIELD-PRO vào plug-in này.

Khi phân tích X-WP-SPAM-SHIELD-PRO, các nhà nghiên cứu bảo mật của Sucuri đã khám phá ra rằng nó có cấu trúc và tên tệp hợp pháp, nhưng tất cả nội dung bên trong đều giả mạo. Nó được thiết kế để vô hiệu hóa các plug-in khác, bao gồm các chức năng liên quan đến an ninh và bảo mật dữ liệu.

Một trong những tệp tin bên trong backdoor này có tên là class-social-facebook.php. Thay vì chặn mọi thư rác trên Facebook như tên gọi của mình, nó sẽ vô hiệu hóa tất cả các plug-in quan trọng trong WordPress. Vì thế, nó hoàn toàn có thể làm hỏng trang web.

Hai tệp khác, class-term-metabox-formatter.phpclass-admin-user-profile.php, được thiết kế cho mục đích thu thập dữ liệu. Nó sẽ thu thập danh sách tất cả các quản trị viên trong WordPress.

Một tệp tin khác, được gọi là plugin-header.php, sẽ thêm tài khoản quản trị viên bổ sung - mw01main - vào trang web. Tệp có chứa mã để xóa chính nó, đồng thời tiết lộ tên người dùng, mật khẩu và email mà hacker có thể sử dụng để đăng nhập vào trang web bị xâm nhập.

Nhiều backdoor ngụy trang dưới dạng plug-in WordPress - Ảnh 2.

Plug-in giả mạo hoàn toàn có thể làm hỏng trang web. Nguồn: SC Magazine.

Các plug-in giả mạo cũng bao gồm mã thông báo, giúp hacker sẽ biết được mỗi lần quản trị viên kích hoạt nó trên trang web. Theo đó, hacker sẽ ngay lập tức biết trang web nào vừa mới tải nhầm plug-in chứa backdoor.

Ngoài thông tin người dùng và mật khẩu, backdoor còn thu thập rất nhiều thông tin từ các trang web bị xâm nhập và gửi cho hacker như thông tin các plug-in đang hoạt động, địa chỉ IP của máy chủ và các dữ liệu nhạy cảm khác.

Chức năng cập nhật của backdoor cũng đã được phát hiện. Nó cho phép hacker tải lên bất cứ thứ gì vào trang web dưới dạng file ZIP, sau đó giải nén nó vào hệ thống bị xâm nhập và xóa lưu trữ.

Các nhà nghiên cứu còn kết luận rằng các backdoor còn có liên quan đến plug-in nổi tiếng của WordPress là All In One SEO Pack. Do đó, quản trị viên chỉ nên tải các plug-in từ nguồn đáng tin cậy, cũng như kiểm tra và cập nhật các cài đặt đã được thiết lập thường xuyên.

Dữ liệu 17 triệu người dùng bị đánh cắp, bán trên web đen

TTO - Nền tảng tìm kiếm nhà hàng trực tuyến Zomato vừa xác nhận ít nhất 17 triệu hồ sơ người dùng của trang này đã bị tin tặc đánh cắp. 

THÁI CƯỜNG

Đột phá lớn: Đã chuyển được dữ liệu lượng tử giữa hai dạng vật chất

TTO - Nghiên cứu mới này có thể đưa chúng ta đến gần hơn tương lai phát triển máy tính lượng tử và thậm chí cả mạng Internet lượng tử, chấm dứt khả năng dữ liệu bị xâm phạm.

Chế tạo ra pin giống miếng vải và hoạt động bằng mồ hôi

TTO - Được phát triển bởi các nhà nghiên cứu từ Đại học New York ở Binghamton, loại pin sinh học sử dụng vi khuẩn như nguồn năng lượng chính và có thể được kéo căng như một mảnh vải thông thường.

Người chơi Bitcoin hãy cẩn thận trước các quảng cáo mang tên Gunbot

TTO - Gần đây, các hacker đã sử dụng một quảng cáo giả mạo gọi là Gunbot, được giới thiệu giúp người dùng “đào” và theo dõi bitcoin, nhưng thực chất nhằm lây lan trojan độc hại Orcus RAT và ăn cắp bitcoin.

Không dễ thu thuế Livestream trên Facebook

TTO - Nhiều chuyên gia cho rằng việc quản lý, xác định doanh thu những cá nhân có thu nhập từ hoạt động quảng cáo qua hình thức livestream (truyền hình trực tiếp) trên mạng xã hội Facebook là không dễ dàng.

Hacker Nga khai tấn công đảng Dân chủ theo chỉ đạo tình báo Nga

Nga

TTO - Một hacker người Nga, được cho là thành viên của nhóm tấn công mạng có tên là Lurk, khai nhận trước tòa là đã nhận lệnh chỉ đạo từ Cơ quan an ninh Nga (FSB).

Thêm một tuyến cáp đường trục xuyên Việt

TTO - Từ ngày 7-12-2017, hạ tầng viễn thông của Việt Nam có thêm một tuyến cáp đường trục xuyên Việt (Cross Vietnam Cable System - CVCS).

Sân bay Tokyo sẽ ‘la liệt’ robot phục vụ trong Olympic 2020

TTO - Các du khách tới Nhật Bản dự Thế vận hội Mùa hè 2020 sẽ được chào đón và hỗ trợ với một loạt các loại robot ngay từ sân bay, ban tổ chức Olympic 2020 tại Nhật cho biết.