WordPress Automatic插件漏洞,差点挂掉我全部网站

差不多一个多月没有查看网站情况了,五一回来想起来看了下谷歌统计,发现很多网站的统计数据停留在了4月21日这一天。事出反常必有妖,抓紧去后台看了下,所有出现这个问题的网站的全部的插件被停用,因为网站太多,只看了几个,以为是自动升级或者其他偶然因素造成的,毕竟这种情况也不少见,重新启用了下就没再管。

抽查发现异常

因为最近又新做了一批站群,隐隐感觉也是担心出现什么问题,随机抽查了几个,发现有网站文件被篡改,这种情况并不意外。清除做好权限后紧接着查看了下user里面有没有情况,这一查不得了,密密麻麻多出几十上百个xtw为前缀的异常用户。

盗版用户的猜测:Automatic

这些出问题的网站无一例外都是用WordPress做的,但是程序本身应该没大问题,另外一个共同点就是全都使用了售价39美金的Automatic这个插件。

功能强大的一批,看销量就知道了。

文章内容全靠他和ChatGPT输出,五美元的key用过上百个了,开始收费后的key也充值几十美元了,结果最后又连买带送配套输出个王炸漏洞出来。。。

当然我用的是盗版的,知道它有潜在危险因素,容易被人留后门被挂马什么的,奈何诱惑太大,网站太多,又穷又想占便宜,正版肯定买不起,白嫖惯了,然后就这样了。不过因为是插件本身的漏洞,不是被破解后留后门造成的,这次正版用户也在劫难逃。

新鲜的求证结果

去百度谷歌分别搜了下最近的WordPress漏洞和插件漏洞等相关词,猜测赫然在列,日期也很新鲜:

正版用户的愤怒、差评与哀嚎

淡定

因为你的插件我的网站被黑了

客气

不幸的是,由于安全漏洞,我们工作了 9 年的项目遭到了黑客攻击。我们不得不关门。我们的团队仍在尝试修复该网站。

他们宣称他们已经解决了问题,但不幸的是我们和许多像我们一样的人成为了受害者。

很遗憾,我们建议想要使用此插件的用户考虑到这一点。

我们还建议作者更加小心并勤奋工作。

问候。

头疼

不幸的是,我的网站因为这个插件而被黑了。

我最终没有注意到,作者花了一段时间才警告我这个错误,我尝试恢复备份,但我的 4 个备份已经感染了病毒。

我必须设置一个新服务器并彻底迁移该网站。

显然我在解决这个问题时很头疼。

最糟糕的是没有提前传达这一失败!

失去信心

在软件世界中,信任就是一切,用户依靠开发人员来保证其数字家庭的安全。但不幸的是,WP 自动插件因一个重大安全缺陷而让我们失望。

这个被称为 CVE-2024-27956 的缺陷是一个大问题。这就像为窃贼敞开你家的前门一样。更糟糕的是,开发商 Atef 先生并没有直接向我们坦白此事。

首先,该插件的销售页面上没有提及此漏洞。如果你仔细研究最近的更新,你也找不到任何关于它的字。就好像阿特夫先生希望我们不会注意到一样。

我只是在 4 天前从一篇 Hacker News 文章中发现了这个烂摊子(不是来自 Aetf 先生)。今天(2024 年 4 月 30 日)Envato Market 向我们发出了警告。
四天前我问过他这个问题(当时我读到了《黑客新闻》的文章)。阿特夫先生的回应虽然承认了补丁的存在,但未能解决更广泛的透明度和问责制问题。这不仅仅是在问题暴露后解决问题;这是从一开始就与用户保持友好的关系。这是关于在修复漏洞后公开宣布该漏洞。这是关于对客户诚实和直接。

在科技界,诚实是最好的政策。用户应该知道他们的数字安全何时面临风险。阿特夫先生保持沉默,正在将我们所有人置于危险之中。请参阅以下网站被黑客攻击并失去业务的客户的评论。

我已经对这个产品失去了信心,我不愿意再冒险了。如果 Atef 先生不能坦率地谈论安全这样重要的事情,那么我就不能信任他来管理我的网站。

底线:如果您正在考虑使用此插件,请再考虑一下。您的安全太重要,不能用来赌博

损失

大量网站被赌场和其他垃圾邮件攻击。完全毁掉了所有这些网站,损失了 1 万多美元……

由于这个插件,我丢失了我的一个网站,它被黑客攻击并且代码被删除。

证据

我的网站通过这个插件被黑了,我有所有的证据和所有的日志。
https://www.********/wp-content/plugins/wp-automatic/inc/csv.phpe1ab06ea21c2.php
https://www.********/wp-content /plugins/wp-automatic/inc/csv.phpe1ab06ea21c2.php

作者回复

很遗憾得知您遇到此问题

最先发现该问题的 PatchStack 联系了我们,我们在发现问题的当天就发布了修复程序,并且我们也不得在根据其保密条款规定的 30 天的期限之前向公众披露该问题

。问题出在插件的旧版本中,该插件在一个多月前就已修补,并且在发现问题的同一天修补,这意味着您没有及时更新插件,因此请确保及时更新我们的或任何插件或打开自动更新,因为当发现安全漏洞时,它会被修补,当问题公开发布时,它会被安装过时版本的网站上的恶意用户利用

我们还发布了一个无法拒绝的电话通知,要求进行此更新

要解决此问题,请尝试恢复出现此问题之前的备份,并确保您使用的是最新版本的插件

问候,
阿特夫

问题解决

原因找到了那就很简单了,直接清除可疑用户,因为升级是不可能的,所以只能暂时停用删除插件,只不过网站太多,前前后后一百七十个左右,一个个的登录,一个个的删除停用,搞的头大。

庆幸的是数据都还在,文件也很少被篡改,相比去年KT机房着火带来的损失简直九牛一毛都不毛。

做好之后批量迁移异地备份才算暂时告一段落。

启用Aiomatic

Automatic插件不能用了,最新版本的开心版还没有流出,内容暂时只能用本地生成了,感觉还是不大方便,用重启尘封已久的Aiomatic插件,当然同样是那个版本,不过相比前者算是属于小众,知道和使用的用户少一大截,被人关注的风险也降低一些,暂时先用着。

aiomatic

老老实实备份

不管是正版还是盗版插件,WordPress 还是其他CMS,出来做,被黑是常态,被烧也是有可能,参考去年KT机房失火,还是老老实实的做好备份。

去年用的KT服务器就是没有做异地备份,虽然最后服务器只是被水淋了,着火的是机房的其他区域,数据没有丢失,但是恢复也是一个多月以后的事了,所有网站凉凉了,最后谷歌直接拔毛,关键词到现在还没恢复过来,用了八年都没有出过事,这一次直接来个物理攻击,这你能受得了吗?

但是也别只知道备份不知道查看下情况,像上面的老哥,不仅备份了而且还备份了四份,但是四份都是被黑后的备份,即便恢复了也还是黑的。

最后

黑不怕,怕的是被黑了也不知道,知道被黑了也不知道怎么去解决。

发表评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部