Несмотря на то, что с момента обнаружения (http://www.opennet.me/opennews/art.shtml?num=31377) уязвимости в Timthumb, популярном дополнении к WordPress, прошло три месяца, исследование компании Avast показало (https://blog.avast.com/2011/10/31/following-wordpress-into-a.../), что темп заражения уязвимых сайтов вредоносным ПО продолжает оставаться на высоком уровне. В сентябре было поражено около 2500 сайтов, через которые злоумышленники пытались эксплуатировать клиентские машины с целью внедрения вредоносного ПО, используемого для рассылки спама, участия в DDoS-атаках и совершения других неподконтрольных пользователю действий. В октябре темп заражения сохранился на прежнем уровне, что свидетельствует о том, что многие пользователи блогов совершенно не заботятся о безопасности и не следят за появлением критических обновлений.
После эксплуатации уязвимости в дополнении Timthumb, поставляемом в комплекте с некоторыми визуальными темами и используемом для изменения размера фотог...URL: https://blog.avast.com/2011/10/31/following-wordpress-into-a.../
Новость: http://www.opennet.me/opennews/art.shtml?num=32219
./wp-includes/js/l10n.js входит в поставкуИмеется в виду, что он модифицирован и код выглядит как
https://blog.avast.com/wp-content/uploads/2011/10/Redirect.png
Интересно, уязвимости каких версий Java используются?
Если у кого есть информация, поделитесь ссылочкой, пожалуйста.
Это Вы вообще к чему?
Причем тут Java?
вроде бы очки большие а читаеш плохо...
"...Black Hole включает в себя около десяти разных эксплоитов, половина из которых направленны на поражение Java-плагина..."
Всех версий.
Я "запускал" баннеры в на любой из последних версий и на одной бородатой.
Уверен, именно благодаря этим эксплойтам, в последней опере появился пункт "Включить плагины только по запросу".
Теперь висит элемент, на который надо щелкнуть, чтобы тот начал работать.
Я на обоих сайтах, где нужны плагины, включил их в исключения.
Браузер стал жрать еще меньше оперативки, чем раньше.
Ну есть же MaxSite CMS, Блоголёт, и т.д. и т.п.
Зачем использовать многолетдырявый WordPress?
> Ну есть же MaxSite CMS, Блоголёт, и т.д. и т.п.А в них нет дыр? Если знания позволяют, то проще свой движок быстро накидать... Это всего строчек 20 на пыхе...
> А в них нет дыр? Если знания позволяют, то проще свой движок
> быстро накидать... Это всего строчек 20 на пыхе...А где гарантия что там дыр не будет? И вообще, дыра в стороннем аддоне а не вордпрессе. Под ваше самопальное двигло аддонов просто не будет. Кто бы сомневался, что гильотина надежно и эффективно лечит головную боль?!
Перефразируя классика - есть два типа CMS: дырявые, и которые никто не использует.
> Зачем использовать многолетдырявый WordPress?Для начала, дырка не в вордпрессе, а в побочном аддоне. Сам вордпресс сто лет как никто не ломал (я даже вспомнить не могу - есть ли критичные дыры).
Кстати и браузеры ломают через эксплойты, "половина из которых направленны на поражение Java-плагина" - тоже через аддон, только оракловый :)))
Итого: нефиг юзать довески откуда попало, а если юзаете - обновляйтесь вовремя.
Справедливости ради, надо отметить, что уязвимость не в самом в WordPress'е, а в его плагине. Это, кстати, характерно для многих CMS. Ради интереса проверил на http://web.nvd.nist.gov/view/vuln/search последние 20 уязвимостей для самым популярных (wordpress, joomla, drupal). Большинство дыр - в плагинах, дополнительных модулях и темах оформления.
Если указал сколько плагинов обсмотрел, то укажи и сколько из них плагиноуязвимые. А то неинформативное сообщение твоё.
Не совсем понял слово "плагиноуязвимые", но попробую подробнееПо запросу "WordPress" (http://web.nvd.nist.gov/view/vuln/search-results?query=wordp...) из последних 20 уязвимостей - 16 в темах оформления, 2 в плагинах и только 1 в самом вордпрессе (ещё одна вообще левая, видимо там поиск лажает).
По запросу "Joomla" - все 20 результатов относятся к дополнительным компонентам.
Дальше искать было лень.Конечно, глубоких исследований я не проводил и подробной статистикой не располагаю, но тенденцию вроде и так видно. Т.е. я не говорю, что эти CMS-ки такие надежные и защищенные - их тоже люди пишут. Но всё-таки к самим движкам требования в плане безопасности предъявляются более высокие, чем ко всяким дополнениям, которые пишут все кому не лень и они как раз чаще всего и становятся причиной взлома (ваш К.О.)
Динамика сохраняется просто потому, что каждый хомяк счел себя достаточно крутым, чтобы самому поддерживать блог. Вот и всё.
timthumb это такой плагин, который делает так, чтобы все картинки ни в коем случае не отдавались статикой - только через скрипт, да ещё с ресайзом на лету.
Причём компоненты тем также любят авторесайзить.