WordPress暗藏兩大惡意外掛,可安裝後門和挖掘加密貨幣

Editor發表於2019-10-21

WordPress暗藏兩大惡意外掛,可安裝後門和挖掘加密貨幣



2003年WordPress從b2/cafelog分支出第一個版本,如今已經成為最受歡迎的自由開源的部落格軟體和內容管理系統。

然而近期WordPress被曝存在一些惡意外掛,活動數量超過200萬。


WordPress是什麼?



WordPress作為一款內容管理程式,適用於任務型別網站,旨在為每個使用者提供線上內容釋出功能,並提供任務種類的內容資訊共享,其外掛庫和主題庫也在不斷擴充套件中。

此外,WordPress擁有靈活的外掛架構和模板系統,滿足了所有人對部落格從功能到形式的需求,使得WordPress的使用者遍佈全球。

同時,WordPress使用開源PHP語言程式碼文字,始終免費為使用者提供服務,同時也不斷最佳化新增其功能,更新和改進核心程式碼,以適應使用者需求。

WordPress與社群的開發人員合作,讓它變得更安全,然而一個不小心,就有惡意外掛混了進來。



利用二進位制檔案挖掘加密貨幣



狸貓換太子,攻擊者使用偽造的外掛冒充WordPress公共儲存庫中的外掛,使用同樣的名稱來迷惑使用者的視線,只需要對合法外掛的程式碼進行惡意修改就可以完成,目前已被發現有400多次安裝。

一旦使用者下載此外掛,攻擊者就可獲取伺服器的訪問許可權,同時還可以執行Linux二進位制檔案的程式碼挖掘加密貨幣。


WordPress暗藏兩大惡意外掛,可安裝後門和挖掘加密貨幣


即使刪除感染媒介也無濟於事,依然可以使攻擊者訪問伺服器並在部落格上加密內容。



偽造外掛暗藏惡意後門



除了上述外掛之外,攻擊者還在WordPress網站上安裝惡意後門來獲取許可權,並上傳Web Shell和指令碼來強行控制其他站點。

惡意外掛主要克隆WordPress的合法外掛,以其受歡迎的功能來吸引使用者下載,實際上會在下載的過程中安裝後門。

攻擊者利用後門透過POST請求能夠將出於惡意目的的任意檔案上傳到受感染網站的伺服器。

WordPress暗藏兩大惡意外掛,可安裝後門和挖掘加密貨幣
件上傳功能

這些檔案包含下載位置資訊,獲得檔案路徑以及檔案的相關引數。

此外,攻擊者還將Web Shell(惡意指令碼提供對伺服器的遠端訪問)放在受感染伺服器的隨機位置,使攻擊者能夠對其他網站發起DDoS和暴力攻擊,以輕鬆獲得目標站點的大量登入憑證。

這些偽造外掛使WordPress面臨安全風險,使用者使用時還需小心謹慎。


* 本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。

相關文章