黑客利用WordPress插件漏洞,大量囤积被黑网站

2018年11月10日12:37:01 发表评论 29 views

黑客利用一个流行的WordPress插件中现已修补的漏洞来安装后门并入侵网站,并且目前正在继续利用。该漏洞发生在WP GDPR Compliance这个WordPress插件上,该插件可帮助网站所有者符合GDPR标准。该插件是WordPress插件目录中最受欢迎的GDPR主题插件之一,有超过10万个活动安装。

黑客利用WordPress插件漏洞,大量囤积被黑网站

大约三周前,攻击者发现了此插件中的漏洞,并开始使用它来攻击WordPress站点并安装后门脚本。关于被黑网站的初步报告被制作成另一个插件的支持论坛,但该插件最终被安装为一些被黑网站上的第二阶段有效负载。

经过WordPress安全团队的调查之后发现,黑客的来源最终被追溯到WP GDPR Compliance,这是在所有报告的被入侵站点上安装的通用插件。

本周早些时候,WordPress团队在他们的代码中发现了几个安全问题之后,从官方的插件目录中删除了这个插件,他们认为这是导致报告的黑客攻击的原因。

该插件在两天前恢复,但仅在其作者发布1.4.3版本之后,其中包含针对报告的问题的补丁。但是,Defiant公司的安全专家表示,尽管这些漏洞被修复,但运行低版本1.4.2及更早版本的站点扔受到攻击。

该公司的分析师表示,他们将继续追查WP GDPR Compliance插件攻击来源问题。特别是,攻击者调用插件的内部功能并更改插件的设置,这一攻击也适用于整个WordPress CMS。

Wordfence团队表示,他们已经查到使用此漏洞来攻击的两种类型。第一种情况是这样的:

  • 黑客使用bug来打开网站的用户注册系统。
  • 黑客使用bug将新帐户的默认角色设置为“管理员”。
  • 黑客注册一个新帐户,该帐户自动成为管理员。这个新帐户通常被命名为“t2trollherten”。
  • 黑客将新帐户的默认用户角色设置为“订阅者”。
  • 黑客禁用公共用户注册。
  • 黑客登录他们的新管理员帐户。
  • 然后他们继续在网站上安装后门,作为名为wp-cache.php的文件。

这个后门脚本(如下图所示)包含一个文件管理器,终端模拟器和一个PHP eval()函数运行器,而Wordfence说“站点上的这样一个脚本可以让攻击者随意部署更多的有效负载”。

黑客利用WordPress插件漏洞,大量囤积被黑网站

点击查看大图

但专家们还发现了第二种类型的攻击,它不依赖于创建一个新的管理员帐户,这可能会被被黑网站的所有者发现。第二种假定更安静的技术涉及使用WP GDPR Compliance错误向WP-Cron(WordPress的内置任务调度程序)添加新任务。

黑客的cron作业下载并安装2MB Autocode插件,攻击者后来使用该插件在网站上上传另一个后门脚本 - 也称为wp-cache.php,但与上面详述的不同。

但是,虽然黑客试图使第二次开发场景比第一次更加沉默,但事实上,这种技术导致零日发现。

之所以发生这种情况,是因为在某些网站上,黑客的利用例程无法删除2MB自动编码插件。网站所有者看到他们的网站上出现了一个新的插件并惊慌失措。

事实上,在这个插件的WordPress支持论坛上,网站所有者首先抱怨黑客入侵的网站,并引发调查,导致回到WP GDPR Compliance插件。

攻击者正在囤积被黑网站

据Wordfence团队称,目前攻击者似乎并没有对被黑网站做任何恶意攻击。

黑客只是囤积被黑网站,而且Wordfence还没有看到他们试图通过后门脚本部署任何恶意内容,例如SEO垃圾邮件,漏洞利用工具包,恶意软件或其他类型的恶意。

使用WP GDPR Compliance插件的网站所有者仍有时间从他们的网站更新或删除插件,并清理任何遗留下来的后门。他们应该在他们的网站在搜索引擎排名方面受到打击之前这样做,这通常发生在Google在常规扫描期间在其域上发现恶意软件之后。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: