wordpress下载默认自动更新造成超25%网站被黑
Wordfence最新漏洞造成大部分的网站被黑,Wordfence最近披露了某个影响范围很广的安全问题,大量WordPress网站都受到影响。这个漏洞利用的是WordPress的自动更新功能,此功能默认是开启的,又因为整个互联网上大约有27%的站点都采用WordPress,所以Wordfence宣称,整个web世界有27%的网站都可能因此被黑。
简单说就是利用WordPress更新服务器的弱点,控制该服务器,自然也就能够同时对所有采用WordPress的网站完成入侵了。
一击黑入全球1/4的网站
在WordPress生态中,api.wordpress.org服务器的重要功能在于,为WordPress站点发布自动更新。各WordPress站点,每隔1个小时就会向该服务器发起请求,检查插件、主题和WordPress核心更新。
api.wordpress.org服务器的响应就包括了WordPress各部分是否需要自动更新,响应中也包含下载和安装更新软件的URL地址。
于是,只要搞定了这台服务器,黑客也就能够让所有的WordPress站点自动从他们自己的URL下载和安全恶意程序了。也就是说,攻击者通过api.wordpress.org的自动更新机制,就能大规模黑入大量WordPress站点。
整个过程实际上是完全可行的,因为WordPress本身并不提供软件的签名验证。它信任api.wordpress.org提供的任意URL地址和包。WordPress文档中有提到:默认情况下,每个站点都会开启自动更新功能,接收核心文件更新。
按照Wordfence的说法,黑客只需要针对api.wordpress.org一击,就能让全球超过1/4的网站感染恶意程序。
api.wordpress.org漏洞技术细节
这个更新服务器有个GitHub webhook,它能够让WordPress核心开发者将代码同步到wordpress.org SVN库,也就能够将GitHub作为其源代码库了。这样一来,核心开发者只要在GitHub提交更改,就会触发api.wordpress.org的一个进程,也就能方便得从GitHub获得最新代码。
这里api.wordpress.org联系GitHub的URL也就是所谓的“webhook”,这东西是用PHP写的。此webhook的PHP是开源的,点击这里就能获取。
Wordfence对其中的代码进行了分析,发现了其中的一个漏洞。攻击者利用该漏洞就能够在api.wordpress.org上执行任意代码,并且获得api.wordpress.org的访问权。实际上也就是远程代码执行漏洞了。
来自GitHub的请求抵达api.wordpress.org,那么webhook会通过共享的hashing算法来确认,的确是GitHub发出的请求。整个过程是GitHub发出JSON数据,它会将数据和共享秘值进行混合,哈希后将哈希值与JSON数据一同发给api.wordpress.org。
api.wordpress.org收到请求之后,也将JSON数据和共享秘值进行混合,然后算哈希。最终结果如果和GitHub发来的匹配,也就证明了来源是没问题的,是GitHub发来的请求。
GitHub采用SHA1来生成哈希,并且在header: X-Hub-Signature: sha1={hash}的位置给出签名。webhook提取算法和哈希来确认签名。漏洞也就在于:代码会使用客户端提供的哈希函数,这里的客户端通常情况下当然就是GitHub了。在这个过程中,如果能够绕过webhook认证机制,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器。
当然整个过程需要让webhook认为,攻击者是知道共享秘值的。不过webhook能够让攻击者选择哈希算法,PHP提供了各种算法。找个足够弱的哈希算法,暴力攻破webhook,发出一系列哈希,猜出共享秘值和发送数据的哈希值,直到猜对为止,api.wordpress.org就会响应请求。
整个过程的详情可以参见文末Wordfence的原文链接。
问题根源没有解决?
Wordfence是在今年9月份将该漏洞上报给Automattic(WordPress母公司)的,Automattic与9月7日向代码库推了fix(有关补丁详情,可以点击这里)。不过Wordfence表示api.wordpress.org仍然是部署WordPress核心、插件和主题升级的单点故障根源所在。
Wordfence表示曾经试图与Automattic安全团队就有关自动升级系统的安全问题展开对话,但没有得到任何回应。大约在3年前,就有相关WordPress服务器部署认证机制的探讨,目前都还没有任何进展。
公共wifi密码共享不要随便连接 教你安全使用公共wifi网络
虽然用户使用公共Wi-Fi存在不少风险,但用户还是可以养成一些习惯来更安全地使用公共Wi-Fi网络。1、关掉共享。用户在工作场所或自己家里使用笔记本电脑时可能会与其他电脑共享文件及文件夹,但在使用公共Wi-Fi时
详情2018-01-17 16:25:05责编:llp 来源:驱动管家如何破解电脑开机密码?简单一招就可以破解电脑开机密码
碰到电脑就像玩一会,但是,电脑开机需要密码怎么办?现在教你小小一招巧解任何电脑的开机密码。无需任何工具,无需放电。任何电脑当开机需要密码时,只需将机箱打开,把里面的声卡或其它任何一个零件拔下来,然
详情2018-01-14 18:07:50责编:llp 来源:驱动管家phpwind论坛存在哪些漏洞?哪个漏洞最严重?
PHPWIND 论坛是一款流行的PHP 论坛,界面美观,功能也比较强大。但大家仔细看一下会发现不论是从界面功能还是代码风格,它和 DISCUZ 都非常相似,具体原因我想也就不用说了,毕竟 DISCUZ 出来比它要早很多
详情2018-01-13 13:59:36责编:llp 来源:驱动管家如何防止网站成为黑网站呢?要做这些事
1 设置严密权限上传目录只给写入、读取权限绝对不能给执行权限每个网站WebSite使用独立用户名和密码权限设置为Guest命令: net localgroup users myweb del设置MSSQL、Apache、MySQL以Guest权限运行:在运
详情2018-01-19 11:29:50责编:llp 来源:驱动管家怎么查证你的浏览器存在ie漏洞?
JavaScript IE 6 漏洞 其利用代码如下: <script type= "text jscript "> function init() { document write( "The time is: " Date() ); } window onload = init; < script> 利用此代码可
详情2018-01-10 09:59:11责编:llp 来源:驱动管家脱壳教程 jdpack如何脱壳?
这是一个加壳软件,软件加壳后可以检测trw及sice,它的1 00版检测到trw或sice时只是提示,到了1 01版,检测到就会出现非法操作 未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示 "Unregistered JDPack Thi
详情2018-01-19 09:35:00责编:llp 来源:驱动管家局域网共享的安全防范技巧 保证局域网共享安全有哪些方法?
随着网络的飞速发展,现在最热的话题自然就是网络安全了。在信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全方面的知识有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在付
详情2018-01-20 18:00:31责编:llp 来源:驱动管家rar.exe有什么用?上传rar.exe可以快速下载su目录文件
你想一下,如果su目录文件这么多,难道你要一个个的下载??这明显就很麻烦,有了rar exe一切变的简单了!好了现在来介绍它的用法吧!得到了Webshell后,最好自己传一个rar exe,虽然program files目录有,但是
详情2018-01-12 13:31:18责编:llp 来源:驱动管家2016年木马病毒查杀软件的排行榜
现在的电脑杀毒软件种类很多,在选择的时候,很多人并不知道如何去进行选,按照什么标准来进行选择,其实在选择杀毒软件首先要看杀毒能力,其次可以根据杀毒软件的功能来进行判定排名,下面就和大家一起来分析一
详情2018-01-05 13:58:41责编:llp 来源:驱动管家ie7浏览器有什么优点?ie7浏览器访问恶意网页会出现什么问题?
受影响系统: Microsoft Internet Explorer 7 0 描述: BUGTRAQ ID: 28498 Internet Explorer是微软发布的非常流行的WEB浏览器。 如果用户用IE访问了恶意网页的话,则弹出窗口的地址栏可能为任意地址而窗口主题中为任意页面或内容。这有
详情2018-01-20 09:30:57责编:llp 来源:驱动管家
- 怎么通过序列号加密软件?序列号加密程序是什么?
- 爱奇艺手机vip会员连续包月怎么取消?爱奇艺手机会员取消包月办法
- 微信彩票中奖了怎么领?微信彩票不能兑奖怎么办?
- 手机恢复出厂设置会怎么样?关于手机恢复出厂设置的介绍
- 关于几款常用的破解wifi密码软件介绍
- 用centos搭建文件服务器的相关方法介绍
- 在mac怎么安装dmg文件?mac怎么卸载dmg文件
- 苹果7上市时间预测 苹果7什么时候上市?
- 手机nfc功能是什么?科普手机nfc功能的常识
- 虚拟局域网是什么?虚拟局域网的搭建步骤是什么?
- 小米路由器怎么拆机清灰?小米路由器拆机教程
- paypal是什么?paypal解决了插入恶意图像的漏洞问题
- 手把手教你捕获数据包 捕获数据包的方法
- 小米手环为什么没有提示手机来电?小米手环怎么设置来电功能?
- 会声会影x9素材失效了是怎么回事?会声会影x9素材失效怎么解决?
- 联想e420笔记本内存不够用怎么加内存条
- 显存频率过高会导致哪些问题?怎么解决显存频率过高的问题
- 怎么把pdf文件转换成word?这个用下面这个方法
- win10系统下可以这样给鼠标右键菜单添加图标
- 电信版魅蓝note充电测试 魅蓝note电信版充满电要多久?