欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

关于WordPress主题供应商Pipdig使用客户的网站对不同竞争对手发起DDoS攻击的事件总结

来源:本站整理 作者:佚名 时间:2019-04-04 TAG: 我要投稿

WordPress主题供应商Pipdig被发现利用客户的服务器对竞争对手的网站发动DDoS攻击。安全研究人员jem分析了他们的代码后,找到了实锤进行了DDoS攻击的证据。
然而Pipdig官方博客居然发表了一份声明称,其并没有发动DDoS攻击,声称代码是用来检查主题的许可密钥。并且它还迅速从其bitbucket库里删除了证据,然而证据已经永世留存,且广大网友和Wordfence公司给出了打脸证据。

下面为针对本次事件的分析过程。
事前分析
事件起因在于某位用户与安全分析人员Jem进行接触,称她的网站运行了一个她从WordPress主题提供商处购买的主题,表现得很奇怪:网站变得越来越慢。
经过分析人员的研究了pipdig Power Pack插件的源代码后,发现了pipdig以下行为:
1.正在使用其他博主的服务器对竞争对手执行DDoS
2.正在操纵博主的内容,以更改指向竞争对手WordPress迁移服务的链接,以指向pipdig网站;
3.未经许可从博客网站收集数据,直接违反GDPR的各个部分;
4.正在使用收集的数据,通过更改管理员密码来访问博主的网站;
5.包含一个“kill switch”,它会删除所有数据库表;
6.在未经许可的情况下,故意禁用pipdig认为不必要的其他插件;
7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中,这些插件可能包含重要信息。
下面将逐条进行代码分析。
pipdig p3插件对竞争对手执行DDoS攻击
在/p3/inc/cron.php中,我们将以下代码块嵌套在WP Cron每小时运行一次的函数中:

代码注释告诉我们这是“检查CDN(内容传送网络)缓存”。
然而这是在pipdigz.co.uk上的一个文件(id39dqm3c0_license_h.txt)上执行GET请求,该文件昨天早上在响应正文中返回了“https://kotrynabassdesign.com/wp-admin/admin-ajax.php”。
当响应主体不为空时,即当它包含该URL时,以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求:

所以,每天一个小时,没有任何人工干预,任何运行pipdig插件的博主都会向伪造的用户代理发送请求到’https://kotrynabassdesign.com/wp-admin/admin-ajax.php‘ 并附加一个随机数字符串。
这有效地在kotrynabassdesign.com的服务器上执行小规模DDoS(分布式拒绝服务)。
Kotrynabassdesign是一个和pipdig类似的wordpress主题提供商:

我和Kotryna谈到了这些要求,以排除与pipdig的某种共同安排,她说:
在分析人员为了和Kotryna联系以排除是否和pipdig有合作之后,负责人说了下面的话:
“我的网络主机实际上遇到了很大麻烦,他们解释说我的admin-ajax.php文件受到了某种攻击[...]我可以确认我从来没有给过pipdig任何向我的服务器发出请求的权限。我也没有与他们建立伙伴关系或任何形式的联系。”
下图为详细对话,其中提及了有大量不同的IP访问了他们的网站。

请注意她的服务器日志文件中的引号,特别是pipdig插件中记录的确切用户代理字符串(’Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 60.0.3112.113 Safari /537.36′)和admin-ajax.php的请求,和上面代码中提及的使用请求PHP的随机生成的编号字符串。
这个DDoSing的唯一例外是pipdig自己托管的客户 – 因为每小时cron首先运行此检查:

大概是为了不减慢pipdig服务器的速度,并防止客户举报。
在Once Daily cron中还有第二个与此相同的请求,尽管目前还没发获取响应正文中的URL

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载