Grote belangstelling voor een brakke WordPress plugin

Afgelopen week vielen aan de WordPress sites die ik onder mijn hoede heb twee zaken op. De update naar 4.6.3 stond op de tweede plek. Op de eerste plek een grote belangstelling van ongewenste bezoekers voor specifiek een plugin.

Ongewenste bezoek

Ongewenste bezoekers, dat bestaat uit traffic afkomstig van geweerde IP adressen en bezoek dat nog wel is toegelaten maar niet uit is op het lezen van de artikelen. In dit geval ging het om de tweede groep. Het betrof uitsluitend verkeer uit drie de VRC, Rusland en Brazilië. Het waren geen individuele gebruikers die de blogs onder de loep namen. In korte sessies werd binnen een tijdspanne van enkele seconden vanuit elk van die landen een afzonderlijke query afgevuurd. Dat zag er in de logfiles zo uit.

wp-content/plugins/dzs-portfolio/admin/upload..php China 
 04/02/2018 12:10 178.217.10*.* 178-217-10*.8.u-lan.ru /wp-content/plugins/dzs-portfolio/upload..php Russian Federation 
 04/02/2018 12:10 177.180.2*.* b1b41cea.virtua.com.br /wp-content/plugins/dzs-videogallery/upload..php Brazil 
 04/02/2018 12:10 61.160.1*.* 61.160.1*.* /wp-content/plugins/dzs-videogalle

Geen zuivere koffie, dat zal iedereen wel duidelijk zijn. Maar wat is het precies?

Verdachte plugin

Voor de hand ligt het antwoord te zoeken door een zoekmachine aan te zwengelen en daar “dzs-portfolio” in te geven. Omdat het hierbij zeer waarschijnlijk gaat om een lekke, brakke, gehackte plugin is daar enige voorzichtigheid vereist. Ingeven van de zoekterm is ok, klikken op de resultaten kan gevaarlijk zijn.

Vanuit een veiligere omgeving vond ik dit “DZS ZoomFolio is the ultimate plugin for displaying your creative portfolio to your clients and that’s not all […]”. Wat ook naar voren kwam is dat deze betaalde plugin sinds 2016 niet meer is onderhouden. De resultaten van de zoekopdrachten geven enerzijds de websites weer met directory opbouw waar deze plugin zou draaien en anderzijds sites met cracks voor de plugin.

Deze plugin ken en gebruik ik niet, dus dat zit wel snor. Dat er actief wordt gezocht op brakke plugins was me bekend. De opbouw en omvang van scans zoals ik nu heb gezien was me nog niet eerder opgevallen. Vraag is dan: waar komt die belangstelling voor de schijnbaar lekke DZS plugin vandaan. Moet er soms ergens een C&C server netwerk in de lucht gebracht of gehouden worden?

Share: