Zitat:
Zitat von hakre  Der Fix in patchset 8495 von #6871 greift nicht bei Angriffen, die Dateien in das Plugin Verzeichniss einschleusen. Genau diesen Fall beschreibt der Bericht in Sebbis Blog. Zitat: "SK2/sk2_plugins/sk2_referrer_check_plugin_02092008.cache", es wird also trotz dem "Fix" weiter munter injected.
Dies steht im Widerspruch zur Aussage von codestyling, dass die "Unsichtbarkeit eingeschleuster Plugins [...] behoben worden [sei]".
Im Gegenteil, die Sichtbarkeit von allen aktiven Plugins stellt die Pluginseite gar nicht da, die Routine zum auslesen aller Plugins setzt beim Dateisystem an (und zwar unvollständig), beim Einladen der Plugins wiederum wird eine andere Routine verwendet, die direkt auf den Optionen aufbaut.
Ferner hat dies nichts mit einem bestimmten Plugin zu tun (ich denke auch hier liegt codestyling daneben) sondern lediglich damit, das der Schadcode in ein bereits bestehendes Plugin Verzeichnis injeziert werden muss, um den Fix aus #6871 zu übergehen. |
Und was meinst du, kann man mit Spam Karma machen ?
Es hat ein
Plugin im Plugin Konzept, kann seine "Sub-
Plugins" nachladen und vieles mehr. Genau deshalb sehe ich das als potentielle Quelle für das Einschleusen von remote bereitgestelltem Code.
Deshalb würde ich das eben auch mal durchsehen wollen, denn lieber ein
false positive als ein Tor offen lassen. Und im entsprechenden Blog hat er ja in mehrere Artikel geschrieben, dass er Spam Karma toll findet und einsetzt.
Ich hab nie behauptet, das hintenrum eingeschleuste
Plugins damit erschlagen sind nur das es für den Normalfall behandelt ist. Für das Einschleusen ist meist ein
Plugin/Theme zuständig und nicht der
WP Core, deswegen ja auch die Frage nach dem
Plugin. Denn der Sourcecode dieses speziellen
Plugins enthält remote Nachlade Code von Haus aus!