近期WordPress安全事件最近頻發,上次出了一個惡意軟體SoakSoak,現在又來了一個與其有關的惡意軟體感染事件——WPcache-Blogger。這場事件由一個被惡意軟體控制的網站wpcache-blogger.com命名,雖然同樣由於RevSlider漏洞引起,但是攻擊手法迥異。在過去幾天裡,已有5萬Wordpress網站受到影響。
FreeBuf小科普
RevSlider是一款WordPress幻燈片插件,攻擊者可能利用了該插件的任意文件下載漏洞獲取了大量的WordPress的wp-config.php配置文件,並通過任意文件上傳漏洞上傳webshell對WordPress的源碼文件進行修改,插入了惡意代碼。
惡意軟體SoakSoak其主要攻擊手段是以RevSlider插件漏洞為切入點,通過上傳一個後門,然後對所有使用該伺服器的網站進行感染。這就意味著即使該網站不使用RevSlider也會被感染,因此其具有強大的傳播能力。
10萬WordPress網站淪陷:惡意軟體SoakSoak來了
惡意軟體Soaksoak捲土重來?小心你的wordpress網站
感染集群
與上次FreeBuf介紹的惡意軟體SoakSoak不同,這次的主角WPcache-Blogger由三個感染控制體系組成了一個感染集群。在這裡我們做一下詳細分析:
1.wpcache-blogger
網站wpcache-blogger.com作為惡意軟體主控端,以作遠程命令分發和控制之用。Google表示其屏蔽的12,418個黑名單網站是因為受其影響。
該網站在過去的三個月裡被掛上了該惡意軟體,波及了大概12,418個網站域名,其中包括bertaltena.com,polishexpress.co.uk,maracanafoot.com。
2.ads.akeemdom.com
本感染體系似乎是SoakSoak背後的黑客組織所為,但是影響規模較小一些,據Google統計至今受影響的有6,086個網站。在過去的三個月裡,影響的網站包括fitforabrideblog.com,notjustok.com,notanotherpoppie.com。
3.122.155.168.0
這個感染體系在SoakSoak事件發生之後不久開始活躍,不過最近其進度似乎慢了下來。據Google統計,受影響的網站大概有9,731個。
這個網站為惡意軟體進行分布式控制的中間件,在過去的三個月裡,122.155.168.0作為中間件影響了9,731個網站,其中包括kitchenandplumbing.com,salleurl.edu,radiorumba.fm。
惡意軟體框架
據Google安全瀏覽網站列表統計,在這段時間內共有28,235網站遭到波及。而在我們內部的分析結果中,卻有超過50,000個WordPress網站在以上感染控制體系中躺槍,也就是說Google的黑名單網站庫並沒有囊括完全。
然而,WPcache-blogger事件的惡意軟體已經影響了許多網站,其強大的感染力是其最具攻擊性的的一點。當它感染了一個站點後,會在該主題的頁腳下添加如下代碼:
eval ( base64_decode("ZnVuY..
這段代碼會連接http://wpcache-blogger.com/getlinks.php,反饋信息給惡意軟體框架背後的黑客。有趣的是,在你刷新頁面時,它會通過一個iframe框架加載假冒的Google網站頁面。
真實的例子:
<iframe src="httx://theme.wpcache-blogger.com/css"...
但是它可能有時候會偽裝顯示為正常代碼,讓你難以檢測:
<iframe src="http://google.com"..
如果你發現你的網站上有個連結到Google.com的iframe框架時,你得檢查下自己是不是已經被黑了。
安全建議
我們建議你必須儘快升級以避免新的攻擊,儘管升級並不能清理你的網站後門,但對於控制該漏洞的危害還是有幫助的。
升級之後你需要對網站進行一個全面的安全清理和木馬後門檢測。僅僅重裝你的WordPress並不能解決問題,正如先前提到的一樣,這次的攻擊與惡意軟體soaksoak一樣,會大面積地對網站注入了後門。因此即使重裝WordPress,黑客依然可以輕鬆越過防護重新取得你網站的權限。
[參考來源sucuri,由FreeBuf小編dawner翻譯整理,轉載請註明來自FreeBuf黑客與極客(FreeBuf.COM)]