Jak script kiddie backdoora do kodu źródłowego WordPressa prawie wsadził

dodał 2 września 2012 o 12:08 w kategorii Top, Wpadki  z tagami:
Jak script kiddie backdoora do kodu źródłowego WordPressa prawie wsadził

Historia tak niewiarygodna, że aż wymagająca utrwalenia dla potomnych. To, że ktoś próbował umieścić tylną furtkę w kodzie źródłowym WordPressa, nie jest zaskoczeniem. Zaskoczeniem jest sposób i styl, w jakim tę próbę przeprowadził.

WordPress, jak większość projektów open source, opiera się na wysiłku programistów z całego świata. Każdy, kto uważa, że ma coś do wniesienia do projektu, może zgłosić swoją poprawkę. Wszystkie zgłoszenia są przeglądane przez zespół doświadczonych programistów przed włączeniem do głównego kodu. Jakież było zdziwienie programistów WordPressa, kiedy zauważyli wczoraj zgłoszenie, zawierające niezwykle interesujące zmiany.

Użytkownik maxymax najpierw sklonował kod WordPressa do repozytorium GitHub, następnie wprowadził drobne poprawki i zgłosił tzw. „pull request”, czyli prośbę o włączenie jego kodu do głównego repozytorium WordPressa (tu drugi mirror, na wypadek, gdyby Google zapomniał). Co było takiego ciekawego w tej poprawce?

Poprawka maxymaxa miała jeden cel – dopisanie do domyślnego szablonu WordPressa twentyeleven kodu, stanowiącego tylną furtkę w postaci powłoki systemowej dostępnej przez www (tzw. webshella). Kodu, który na pierwszy rzut oka wołał głośno „Uwaga, jestem hakerem!”.

Początek poprawki maxymaxa

Kodu, który w żaden sposób nie był ukryty, zaciemniony czy nawet nie udawał, że jest czymś innym, niż patetyczną amatorską próbą podrzucenia tylnej furtki.

Sama próba podrzucenia tego rodzaju poprawki do WordPressa już jest wystarczająco zabawna, ale społeczność programistów postanowiła uczynić z tego wydarzenia jeszcze lepszą rozrywkę i zaczęła komentować dodany kod, zachowując pełną powagę.

Hash MD5 nie pasuje do komentarza

Inni oceniali pracę zespołu WordPressa.

Zbyt szybkie zamknięcie zgłoszenia zniechęca innych programistów

Powstały też z tej okazji odpowiednie obrazki oparte o popularne memy.

Mem z wątku komentarzy

Trzeba przyznać, że maxymax dostarczył niezłej rozrywki dużej grupie programistów oraz czytelników Reddita. Cała dyskusja nad propozycją nowego kodu warta jest lektury. Polecamy te linki. A wszystkim innym użytkownikom hakującym WordPressa sugerujemy konieczność lepszego ukrycia swoich intencji.

Wykopowiczom dziękujemy za wskazanie nieprawidłowego użycia przymiotnika „patetyczny”.