Prawdziwy koszt nielicencjonowanych wtyczek

Opublikowany: 2021-01-19

Uwaga: Czy interesuje Cię, w jaki sposób zespół Jetpack bada złośliwe oprogramowanie, aby pomóc chronić Twoją witrynę? W takim razie mamy cię w zasięgu. Dania na wynos są dla wszystkich, ale druga połowa artykułu wymaga pewnej wiedzy technicznej na temat działania WordPressa.

Tworzenie nowej witryny biznesowej lub osobistego bloga jest naprawdę ekscytujące! Wybór ładnego motywu, który zaprezentuje Twoją wizję i wybór odpowiednich wtyczek, aby zapewnić jak najlepsze wrażenia użytkownika, nie jest łatwym zadaniem i najprawdopodobniej zwiększy koszty posiadania tego projektu. Pirackie oprogramowanie może być kuszące jako łatwy sposób na zmniejszenie kosztów.

Oprócz oprogramowania takiego jak Windows 10, Microsoft Office lub Adobe Creative Suite, znajdziesz tam również pirackie rozszerzenia WordPress. Pobieranie wtyczek i motywów z witryn, które nie są licencjonowanymi dystrybutorami, w dłuższej perspektywie tylko zwiększy Twoje koszty. Pozwól mi wyjaśnić dlaczego.

W 2018 r. BSA opublikowała Global Software Survey, w którym podaje kilka uderzających liczb:

  • 37% całego oprogramowania zainstalowanego na komputerach osobistych jest nielicencjonowane
  • Koszt naprawy złośliwego oprogramowania lub wirusów zainstalowanych z pirackiego oprogramowania wynosi prawie 360 ​​miliardów dolarów rocznie

Niektórzy mogą argumentować, że piracki motyw WordPress lub wtyczka nie wyrządzą szkody ich komputerowi, a nawet nie stanowią zagrożenia dla ich informacji, ponieważ działają na czyimś komputerze (znanym również jako chmura). To nie mogło być bardziej błędne.

Zakwestionuj ofertę sprzedaży

Wielu inżynierów oprogramowania polega na innych firmach w zakresie dystrybucji i sprzedaży swojej pracy. Oprócz legalnych dróg dystrybucji istnieją strony internetowe z pirackim oprogramowaniem. Nie muszą się martwić o kod inżynierski, ponieważ kradną go dla zysku. Spędzają swój czas skupiając się na sprzedaży, ponieważ ich jedynym celem jest pobranie i zainstalowanie ich pirackiego oprogramowania.

Przykład reklamy pirackiego motywu

Po co płacić deweloperom i dystrybutorowi, jeśli możesz dostać to za darmo?

Zachęcamy do zachowania ostrożności w przypadku każdej witryny, która zawiera wiele reklam i przycisków pobierania, które mogą wprowadzać w błąd i zwiększać zyski poprzez zwiększanie liczby kliknięć w witrynie. Uważaj również na wyraźne naruszenia dystrybucji, jak w przykładzie na powyższym obrazku.

Umowa z Mefistofelesem – Czytanie drobnego druku

Z niemieckiego folkloru Faust, dążąc do zdobycia większej wiedzy i władzy, zawarł układ z diabłem. Podobnie witryny, które udostępniają pirackie wersje rozszerzeń WordPress, nie są jasne, co dostaną w zamian, więc podejmujesz całe ryzyko.

Nie martw się, jesteśmy tutaj, aby pomóc Ci zrozumieć umowę, którą naprawdę podpisujesz.

Pobrałem ten motyw Cinematix z podejrzanej witryny tematycznej. Od razu zauważyłem, że zawartość pliku readme.txt jest taka sama jak w wersji 2.3 domyślnego motywu Twenty Seventeen.

Przykładowy kod motywu o wartości null
Czy to motyw Cinematix czy Twenty Seventeen?

Radzimy, abyś nie robił tego sam, ale ponieważ jesteśmy specjalistami od bezpieczeństwa, poszedłem dalej i postępowałem zgodnie z instrukcjami. Zmieniłem nazwę katalogu z nld_theme_index na cinematix . Wydawało się to zupełnie niepotrzebne i faktycznie było.

W sekcji motywów mojego administratora wp widziałem, że motyw został zainstalowany, ale wydawał się wyłączony, ponieważ nie było obrazu podglądu. Może jeśli go aktywuję, to zadziała?

Brak dostępnego podglądu, być może to tylko kwestia aktywacji.

Po aktywacji otrzymałem miłą wiadomość, że muszę kupić oprogramowanie! Nigdy nie zostaniesz poproszony o zakup licencji na darmowy motyw z katalogu WordPress. Istnieje wiele świetnych motywów premium, które wymagają zakupu, ale zwykle pojawia się przed pobraniem. Nie płać za motywy, których nie pobrałeś od dewelopera lub firmy, która je stworzyła.

Ale wiadomość mówiła, że ​​to za darmo… A o co chodzi z tą literówką?

W imię nauki usunę tę blokadę i za darmo użyję motywu Cinematix.

Zgodnie z przewidywaniami, ten „motyw Cinematix” jest w rzeczywistości darmowym motywem Twenty Seventeen o otwartym kodzie źródłowym w przebraniu. Widzieliśmy to, patrząc wcześniej na plik readme.txt.

Zagłębmy się w kod i zobaczmy, co możemy znaleźć, ale od czego zacząć? Fałszywy motyw już dał nam wskazówkę, gdy próbował przekonać nas do zapłaty za licencję, której nie potrzebowaliśmy. Wiadomość THEME LICENSE INVALID, PROSZĘ KUP nie jest częścią Twenty Seventeen i może być naszym przewodnikiem do znalezienia innych nieprzyjemnych rzeczy.

Znalazłem tę wiadomość na /inc/template-tags.php , która jest również obecna w oryginalnym motywie. Jednak kod nie jest i jest to nasz pierwszy wskaźnik naruszenia bezpieczeństwa tego złośliwego oprogramowania. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Wszystko, co poprzedzało tę funkcję, było oczywiście złośliwe i niebezpieczne; Spójrzmy:

Pierwsza funkcja ( getUserIpAddr() ) sama w sobie nie jest zła, ale jest używana przez active_nulled_theme( activate_nulled_theme() do dostarczania informacji o zaatakowanej stronie podczas dzwonienia do domu.

Pierwszą rzeczą, jaką robi, jest dodanie użytkownika wp_rest_api jako administratora do witryny, a tutaj mamy nasz drugi wskaźnik kompromitacji.

Nie tylko próbują skłonić Cię do zakupu licencji, której nie potrzebujesz, ale także „telefonują do domu” (okazja złośliwego kodu do udostępnienia informacji o Twojej witrynie autorowi fałszywego motywu). Możesz zobaczyć kod do phone-home w funkcji wp-remote_post , gdzie jest ustawiony na wysyłanie adresu URL witryny, adresu IP i poświadczeń.

Dla tych, którzy czytają, którzy nie są ekspertami, widzimy tutaj, że złośliwy kod w tym pirackim motywie wysyła nazwę użytkownika i hasło do hakerów, aby mogli zalogować się do Twojej witryny. Dzięki temu uzyskają dostęp do prywatnych treści, zamówień ze sklepów e-commerce i pełną kontrolę nad Twoją witryną.

Poza tym usuwa kopię tego kodu /inc/adminindex.php do wp-includes , wp-admin i wp-content/uploads . Czy wiesz, co robi ten plik?

Jest to backdoor do przesyłania plików, który daje atakującemu adres Twojej witryny, administratora oraz sposób na wrzucenie dodatkowego złośliwego oprogramowania, które chce dodać. To nasz ostatni wskaźnik kompromisu, choć w tym momencie to tylko wisienka na złośliwym torcie.

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Wniosek

Korzystanie z pirackiego oprogramowania może wydawać się łatwym sposobem na obniżenie kosztów, ale za zasłoną może wyrządzić straszne rzeczy Twojej witrynie, a później Tobie lub Twoim odwiedzającym. Zestawy exploitów, jak nasi przyjaciele z MalwareBytes udostępnili w tym poście, można dodać do Twojej witryny za pomocą tego backdoora do przesyłania plików lub użytkownika wp_rest_api i wykorzystać do atakowania przeglądarek użytkowników.

Zdecydowanie zalecamy posiadanie planu bezpieczeństwa dla witryny, który obejmuje skanowanie złośliwych plików i tworzenie kopii zapasowych. Kupowanie oprogramowania umożliwia programistom kontynuowanie pracy, ale co ważniejsze, zapewnia bezpieczeństwo witryny i odwiedzających.