13

深圳市九阳电池有限公司

电池组配件;镍氢电池;干电池;充电电池;锂电池;纽扣电池;

2018管家婆彩图大全123
关于WordPress主题供应商Pipdig使用客户的网站对不同竞争对手发
发布时间:2019-08-24        

  原标题:关于WordPress主题供应商Pipdig使用客户的网站对不同竞争对手发起DDoS攻击的事件总结

  *本文原创作者:黑鸟,本文属于FreeBuf原创奖励计划,未经许可禁止转载

  WordPress主题供应商Pipdig被发现利用客户的服务器对竞争对手的网站发动DDoS攻击。安全研究人员jem分析了他们的代码后,找到了实锤进行了DDoS攻击的证据。凡人修仙传中韩立有几个老婆?

  然而Pipdig官方博客居然发表了一份声明称,其并没有发动DDoS攻击,声称代码是用来检查主题的许可密钥。并且它还迅速从其bitbucket库里删除了证据,然而证据已经永世留存,且广大网友和Wordfence公司给出了打脸证据。

  事件起因在于某位用户与安全分析人员Jem进行接触,称她的网站运行了一个她从WordPress主题提供商处购买的主题,表现得很奇怪:网站变得越来越慢。

  经过分析人员的研究了pipdig Power Pack插件的源代码后,发现了pipdig以下行为:

  2.正在操纵博主的内容,以更改指向竞争对手WordPress迁移服务的链接,以指向pipdig网站;

  7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中,这些插件可能包含重要信息。

  2.正在操纵博主的内容,以更改指向竞争对手WordPress迁移服务的链接,以指向pipdig网站;

  7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中,这些插件可能包含重要信息。

  在/p3/inc/cron.php中,我们将以下代码块嵌套在WP Cron每小时运行一次的函数中:

  然而这是在uk上的一个文件(id39dqm3c0_license_h.txt)上执行GET请求,管家婆一句话赢大钱挂牌网,该文件昨天早上在响应正文中返回了“”。

  当响应主体不为空时,即当它包含该URL时,以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求:

  所以,每天一个小时,没有任何人工干预,任何运行pipdig插件的博主都会向伪造的用户代理发送请求到’‘ 并附加一个随机数字符串。

  我和Kotryna谈到了这些要求,以排除与pipdig的某种共同安排,她说:

  在分析人员为了和Kotryna联系以排除是否和pipdig有合作之后,负责人说了下面的话:

  “我的网络主机实际上遇到了很烦,他们解释说我的admin-ajax.php文件受到了某种攻击[...]我可以确认我从来没有给过pipdig任何向我的服务器发出请求的权限。我也没有与他们建立伙伴关系或任何形式的联系。”

  这个DDoSing的唯一例外是pipdig自己托管的客户 – 因为每小时cron首先运行此检查:

  在Once Daily cron中还有第二个与此相同的请求,尽管目前还没发获取响应正文中的URL

  在这里,我们有pipdig的插件搜索提及“”的字符串,字符串分为两部分并重新加入。

  交换这些链接可以提高对pipdig的SEO好处,并且绝大多数博客都不会注意到切换器(特别是如果页面/帖子被编辑,blogerize的链接将像正常一样出现在后端)。

  当在GET请求正文中“收到”电子邮件地址时,该函数会检查Users表中是否存在该电子邮件地址,对其运行自己的“p3_check_social_links”函数,然后使用它来记录站点URL(包含在$ me中)在的一个脚本。

  简单来说:当cron运行时,它会检查socialz.txt中的电子邮件地址。如果该电子邮件地址存在,它会将密码更改为该帐户,并将您的URL记录在socialz.php中,以允许访问任何有权访问该文件的人。

  如果您的管理员电子邮件地址是由socialz.txt返回的,那么您将被从管理员帐户中删除。一位博主认为,这可以用来为pipdig用户提供博客支持。虽然这是可行的情况,但由于以下任何原因,这是一种完全令人讨厌的方式:

  2.我们不知道谁可以访问这些数据:大公司不能保密用户密码,我们为什么要信任pipdig?有一些方法和手段可以支持WordPress用户而无需重置密码。

  4.密码就是明文; 我可以监控socialz.txt文件以获得响应,并通过一些谷歌搜索轻松找到相应的博客到电子邮件地址并使用不安全的密码获取访问权限。

  2.我们不知道谁可以访问这些数据:大公司不能保密用户密码,我们为什么要信任pipdig?有一些方法和手段可以支持WordPress用户而无需重置密码。

  4.密码就是明文; 我可以监控socialz.txt文件以获得响应,并通过一些谷歌搜索轻松找到相应的博客到电子邮件地址并使用不安全的密码获取访问权限。

  而cron.php种下面有一个函数是用来收集另一个竞争对手客户URL列表:

  此代码在“”上执行GET请求。如果它返回与您的博客URL匹配的博客URL,它将查找具有WordPress前缀的所有的表并逐个删除它们。

  换句话说,如果您的网站位于他的杀戮名单上,您可以与每个帖子,页面,插件/常规设置,小部件内容,主题自定义,任何表单数据或其他内容亲吻然后说再见。

  这里非常粗暴,在插件激活后的/p3/p3.php中,插件会停用一大堆插件而不会询问:

  再往下,另一堆被停用,但这次是在admin_init上,每次加载后端面板时都会运行,这样就可以在运行pipdig的插件时重新启用它们:

  因为pipdig正在使用第三方更新程序而不是通过WordPress分发他的插件/主题,所以他可以在任何时候重新实现已经删除的代码,更糟糕的是,其可以推送更新。

  如果您受此影响,即您有一个pipdig主题/插件,特别是如果您运行的是4.7.3或更早版本的p3 power pack,我建议您执行以下步骤:

  3.取消激活并删除p3 power pack插件及其捆绑的任何补充插件;

  3.取消激活并删除p3 power pack插件及其捆绑的任何补充插件;

  开头的Pipdig的官方回应(,在这篇代码分析中来看,简直不堪一击,理由苍白。单一条,你为什么连人网站,你就已经解释不清了。

  我们现在正在研究为什么这个函数返回这个url。但是,它似乎表明某些“作者URL”已设置为“。我们目前不知道为什么会这样,或者网站所有者是否故意改变了这种情况。

  然后,看见这些毫无诚意的声明的twitter网友以及wordfence彻底怒了,毕竟使用Pipdig的用户还是很多的,因此开始更进一步的扒皮和打脸,包括什么时候上传,什么时候删库,什么时候修改代码,都一一列举了出来。

  由于篇幅原因,感兴趣的同学请直接跳转该网站继续围观,毕竟这文章也一个很好的取证教学。

  而在这篇文章中还有一个关键证据,这个证据表明了,Pigdig不仅将使用了他们插件pipdig Power Pack的用户用于ddos攻击,而且还将调用了他们的一些Blogger主题的JS代码的网站同样用于ddos攻击,关键证据分析如下。

  在调查过程中,还发现了一些与他们的Blogger主题相关的可疑代码。此代码是Pipdig针对其竞争对手的可疑DDoS活动的一部分,并且在Pipdig否认任何此类行为四天之后一直有效,直到4月1日。

  NullRefer是一种服务,用于从请求中去除引用者数据到路径中的第二个链接。这意味着,Pipdig使用NullRefer隐藏请求的实际源页面到竞争对手的网站。这是可以理解的,因为所有这些引用都是运行Pipdig主题的网站。

  每当访问者使用此脚本从Pipdig到达运行Blogger主题的任何站点时,他们的浏览器都会向其竞争对手的站点发出额外请求。此请求隐藏它来自的位置,在竞争对手的服务器上命中一个字面上随机的文件,并且对数据不执行任何操作。此行为不仅隐藏在这些网站的访问者中,也隐藏在这些网站的所有者中。

  为了隐藏上述证据,Pipdig已经做出了额外的努力来隐藏这种行为的证据” zeplin1.js” 。

  4月1日,Pipdig在他们的服务器上删除了该脚本的第二行。幸运的是webarchive上证据都存着。

  这个脚本的编辑在接下来的几周里来了。有时,代码被删除了。而在一些时候,一个不同的竞争对手的域名出现了。

  然而,最近报道的竞争对手的域名被添加的最近时间表明Pipdig 即使在被曝光后仍然存在可疑行为 。

  如果Pipdig也取消了这些证据,目前已通过其他受信任的第三方制作了此代码的其他可验证副本。

  而在4月2日,在此次更新时,Pipdig仍在托管滥用客户访问者的Java。

  该文件u.min.js目前正在托管类似的混淆Java,它正在针对他们的另一个竞争对手发出可疑的DDoS攻击。

  所以不管是开源的还是付费的软件,我们都得小心谨慎。流氓到处都有,发现异常请及时排查举报,避免更多人受害。

王中王开奖结果| 香港曾道人正版资料| 期期必中一肖彩图| 老山版奇门三肖藏宝图| 红姐图库正版香港开奖| 百万彩友心水论坛| 高手杀肖统计论坛| 白小姐精准资料大全| 金港赌霸| 皇家论坛皇家论坛|