WordPress再悲剧:WPcache-Blogger感染事件影响五万WordPress网站
近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又来了一个与其有关的恶意软件感染事件——WPcache-Blogger。这场事件由一个被恶意软件控制的网站wpcache-blogger.com命名,虽然同样由于RevSlider漏洞引起,但是攻击手法迥异。在过去几天里,已有5万Wordpress网站受到影响。
FreeBuf小科普
RevSlider是一款WordPress幻灯片插件,攻击者可能利用了该插件的任意文件下载漏洞获取了大量的WordPress的wp-config.php配置文件,并通过任意文件上传漏洞上传webshell对WordPress的源码文件进行修改,插入了恶意代码。
恶意软件SoakSoak其主要攻击手段是以RevSlider插件漏洞为切入点,通过上传一个后门,然后对所有使用该服务器的网站进行感染。这就意味着即使该网站不使用RevSlider也会被感染,因此其具有强大的传播能力。
10万WordPress网站沦陷:恶意软件SoakSoak来了
恶意软件Soaksoak卷土重来?小心你的wordpress网站
感染集群
与上次FreeBuf介绍的恶意软件SoakSoak不同,这次的主角WPcache-Blogger由三个感染控制体系组成了一个感染集群。在这里我们做一下详细分析:
1.wpcache-blogger
网站wpcache-blogger.com作为恶意软件主控端,以作远程命令分发和控制之用。Google表示其屏蔽的12,418个黑名单网站是因为受其影响。
该网站在过去的三个月里被挂上了该恶意软件,波及了大概12,418个网站域名,其中包括bertaltena.com,polishexpress.co.uk,maracanafoot.com。
2.ads.akeemdom.com
本感染体系似乎是SoakSoak背后的黑客组织所为,但是影响规模较小一些,据Google统计至今受影响的有6,086个网站。在过去的三个月里,影响的网站包括fitforabrideblog.com,notjustok.com,notanotherpoppie.com。
3.122.155.168.0
这个感染体系在SoakSoak事件发生之后不久开始活跃,不过最近其进度似乎慢了下来。据Google统计,受影响的网站大概有9,731个。
这个网站为恶意软件进行分布式控制的中间件,在过去的三个月里,122.155.168.0作为中间件影响了9,731个网站,其中包括kitchenandplumbing.com,salleurl.edu,radiorumba.fm。
恶意软件框架
据Google安全浏览网站列表统计,在这段时间内共有28,235网站遭到波及。而在我们内部的分析结果中,却有超过50,000个WordPress网站在以上感染控制体系中躺枪,也就是说Google的黑名单网站库并没有囊括完全。
然而,WPcache-blogger事件的恶意软件已经影响了许多网站,其强大的感染力是其最具攻击性的的一点。当它感染了一个站点后,会在该主题的页脚下添加如下代码:
eval ( base64_decode("ZnVuY..
这段代码会连接http://wpcache-blogger.com/getlinks.php,反馈信息给恶意软件框架背后的黑客。有趣的是,在你刷新页面时,它会通过一个iframe框架加载假冒的Google网站页面。
真实的例子:
<iframe src="httx://theme.wpcache-blogger.com/css"...
但是它可能有时候会伪装显示为正常代码,让你难以检测:
<iframe src="http://google.com"..
如果你发现你的网站上有个链接到Google.com的iframe框架时,你得检查下自己是不是已经被黑了。
安全建议
我们建议你必须尽快升级以避免新的攻击,尽管升级并不能清理你的网站后门,但对于控制该漏洞的危害还是有帮助的。
升级之后你需要对网站进行一个全面的安全清理和木马后门检测。仅仅重装你的WordPress并不能解决问题,正如先前提到的一样,这次的攻击与恶意软件soaksoak一样,会大面积地对网站注入了后门。因此即使重装WordPress,黑客依然可以轻松越过防护重新取得你网站的权限。
[参考来源sucuri,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
- JavaScript之面向对象学习二(原型属性对象与in操作符)获取对象中所有属性的方法
- 快速入门系列--深入理解C#
- “家庭贷款”域名Home.loans已经建站为家庭贷款相关的网站
- 微信亿级用户异常检测框架的设计与实践
- 程序员必知的6点编程秘诀,编程三板斧将解决90%问题!
- JavaScript之面向对象学习三原型语法升级
- 腾讯入局物业管理,欲改造传统服务?
- JavaScript之面向对象学习五(JS原生引用类型Array、Object、String等等)的原型对象介绍
- SQL学习之分组数据Group by
- SQL学习之数据列去空格函数
- 采用DIV+CSS布局对SEO优化有何好处?
- Sublime快速入门
- SQL学习之汇总数据之聚集函数
- Sedo榜单中,域名“加密世界”CryptoWorld.com七位数夺冠
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android 天气APP(十九)更换新版API接口(更高、更快、更强)
- Android 天气APP(二十)增加欢迎页及白屏黑屏处理、展示世界国家/地区的城市数据
- Android 天气APP(二十二)改动些许UI、增加更多空气质量数据和生活建议数据展示
- Android 自定义View 之 RectF用法详解
- Android 天气APP(二十五)地图天气(下)嵌套滑动布局渲染天气数据
- Android 天气APP(二十六)增加自动更新(检查版本、通知栏下载、自动安装)
- Android 天气APP(二十七)增加地图天气的逐小时天气、太阳和月亮数据
- Android 天气APP(二十八)地图搜索定位
- DevEco Studio项目构建讲解、编写页面、布局介绍、页面跳转
- Android 天气APP(二十九)壁纸设置、图片查看、图片保存
- Chrome 私人珍藏-stylus插件实现个性化百度界面定制
- Python 基础篇-简单的异常捕获
- Python 技巧篇-让我的程序暂停一下
- Python+selenium 技术篇-浏览器后台运行
- Python 基础篇-python3安装pyHook和pywin32库