Websecurity - Веб безпека

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://nash.tgs.ck.ua (невідомим хакером) - 01.2011
• http://www.infra.com.ua (хакером FeeLCoMz) - 05.02.2011

Файли, що використовувалися для RFI атак:

http://nash.tgs.ck.ua/.sh/id.jpg - файл вже видалений з сайта.
http://www.infra.com.ua/rzgn/1 - файл вже видалений з сайта, але все ще є в кеші Гугла.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gadget-click.com (хакерами з GarOo-TeaM)
• http://www.randevucity.net (хакером Samael91) - 10.02.2011, взломаний форум проекту, зараз він вже виправлений адмінами
• http://news.vpolitesi.com (хакерами з 1923TURK-GRUP)
• http://forum.mrc.net.ua (хакером GHoST61)
• http://ukrtransport.com (хакерами з EliTTe SquaD)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах TagNinja, Enable Media Replace та WP Forum Server. Для котрих з’явилися експлоіти. TagNinja - це плагін для взаємодії з Facebook, Enable Media Replace - це плагін для заміни атачментів, WP Forum Server - це плагін для стоворення форуму.

• WordPress TagNinja 1.0 Cross Site Scripting (деталі)
• WordPress Enable Media Replace SQL Injection / Shell Upload (деталі)
• WP Forum Server 1.6.5 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://potok.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://potok.in.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://sudnijdenprishel.com - інфекція була виявлена 13.02.2011. Зараз сайт входить до переліку підозрілих.
• http://allit.dp.ua - інфекція була виявлена 04.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://email-marketing.com.ua - інфекція була виявлена 08.02.2011. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://lvivrada.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vetlabresearch.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://forum.narabote.com.ua (хакерами з 1923TURK-GRUP)
• http://www.m-sport.com.ua (хакерами з AlbanianHackersGr0up) - 21.12.2010, зараз сайт вже виправлений адмінами
• http://shop.m-sport.com.ua (хакером kaMtiEz) - 21.12.2010, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Conduit Banner, BezahlCode-Generator та WordPress Audio. Для котрих з’явилися експлоіти. Conduit Banner - це плагін для розміщення Conduit банерів, BezahlCode-Generator - це плагін для створення віджета, що генерує коди для оплати, WordPress Audio - це плагін для роміщення аудіо на сайті.

• WordPress Conduit Banner 0.2 Cross Site Scripting (деталі)
• WordPress BezahlCode-Generator 1.0 Cross Site Scripting (деталі)
• WordPress Audio 0.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Про безпеку плагінів для WordPress я вже писав, а зараз розповім стосовно безпеки шаблонів для WP.

Так само як і плагіни, шаблони (теми) для WordPress також мають уразливості. І окрім уразливостей в самому WordPress, часто уразливості мають місце в плагінах та темах для WP, про які я писав неодноразово. Тому розробники шаблонів для даного движка (як і розробники плагінів) повинні також слідкувати за безпекою.

Серед знайдених мною уразливостей в шаблонах:

• XSS в темі WordPress Classic 1.5
• XSS в темах Blix та Blix Rus для WordPress
• Уразливості в темі Live Wire Edition для WordPress
• Уразливості в темі The Gazette Edition для WordPress
• Уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress
• Уразливості в багатьох темах для WordPress (з TimThumb) - таких як Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress та The Original Premium News
• Уразливість в темі Mimbo Pro для WordPress
• Information Leakage та XSS уразливості в багатьох темах для WordPress - таких як Live Wire, Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric
• Уразливості в темі Magazeen
• В TimThumb, що використовується у багатьох темах для WP, також є Arbitrary File Upload уразливість
• Уразливості в темі Affinity BuddyPress
• Численні уразливості в численних темах для WordPress - таких як Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant 2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune та Meridian
• Численні уразливості в нових темах для WordPress - таких як Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus та Grunge
• IL, XSS, FPD, AoF, DoS і AFU уразливості в темі Daily Edition Mouss для WordPress
• Численні уразливості в темі Chocolate WP для WordPress
• Численні уразливості в темі Flash News для WordPress
• Уразливості в ZeroClipboard в численних темах для WordPress - таких як Montezuma, Striking, Couponpress, Azolla та Black and White
• Уразливості в темі Slash WP для WordPress
• Численні уразливості в темі Colormix для WordPress
• Численні уразливості в численних темах для WordPress з jPlayer - таких як Studiozen, Photocrati, Music, Imperial Fairytale та Feather12
• Уразливості в численних темах для WordPress з VideoJS - таких як Covert VideoPress, Photolio, Source, Smartstart та Crius
• XSS та FPD уразливості в темі I Love It New для WordPress
• XSS, CS та FPD уразливості в темі I Love It для WordPress
• Уразливості в численних темах з CU3ER для WordPress - таких як ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio
• Численні уразливості в Flexolio для WordPress
• Численні уразливості в темі Refraction для WordPress

В даних 26 описах уразливостей наводяться численні Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Information Leakage, Arbitrary File Upload та Content Spoofing уразливості в 173 шаблонах (темах) для WordPress.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pixeldesign.com.ua - інфекція була виявлена 30.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://gift-shop.com.ua - інфекція була виявлена 01.02.2011. Зараз сайт входить до переліку підозрілих.
• http://xshop.com.ua - інфекція була виявлена 08.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://bizneswm.com - інфекція була виявлена 06.02.2011. Зараз сайт входить до переліку підозрілих.
• http://marketgid.com - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Featured Content, FCChat Widget та WordPress Uploader. Для котрих з’явилися експлоіти. Featured Content - це плагін для створення вибранного контенту, FCChat Widget - це плагін для створення чата, WordPress Uploader - це плагін для завантаження файлів.

• WordPress Featured Content 0.0.1 Cross Site Scripting (деталі)
• WordPress FCChat Widget 2.1.7 Cross Site Scripting (деталі)
• WordPress Uploader 1.0.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://webin.com.ua (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
• http://lntc.biz (хакером Stupid) - 29.01.2011, зараз сайт вже виправлений адмінами
• http://hofkarate.org (хакером HEXB00T3R) - 28.01.2011, зараз сайт закритий на реконструкцію
• http://uk.banksale.com.ua (хакером Brunei)
• http://steelfreedom.org.ua (хакером Lekosta) - 01.2011, зараз сайт вже виправлений адмінами