東方聯盟網絡安全組織在上周發布的一份報告中透露,有人觀察到威脅行為者利用一個合法但過時的 WordPress 插件暗中建立后門網站,作為正在進行的活動的一部分。愛掏網 - it200.com
有問題的插件是 Eval PHP,由名為 flashpixx 的開發人員發布。愛掏網 - it200.com它允許用戶插入 PHP 代碼頁和 WordPress 網站的帖子,每次在網絡瀏覽器中打開帖子時都會執行這些代碼頁。愛掏網 - it200.com
雖然Eval PHP已經 11 年沒有收到更新,但 WordPress 收集的統計數據顯示,它已安裝在 8,000 多個網站上,下載量從 2024 年 9 月以來的平均一到兩次猛增到 2024 年 3 月 30 日的 6,988 次。愛掏網 - it200.com
僅在 2024 年 4 月 23 日,它就被下載了 2,140 次。愛掏網 - it200.com該插件在過去 7 天內的下載量達到了 23,110 次。愛掏網 - it200.com
GoDaddy 旗下的 Sucuri 表示,它觀察到一些受感染網站的數據庫向“wp_posts”表中注入了惡意代碼,該表存儲了網站的帖子、頁面和導航菜單信息。愛掏網 - it200.com這些請求來自位于俄羅斯的三個不同 IP 地址。愛掏網 - it200.com
“這段代碼非常簡單:它使用file_put_contents 函數在具有指定遠程代碼執行后門的網站的文檔根目錄中創建一個 PHP 腳本,” 東方聯盟安全研究人員說。愛掏網 - it200.com
“雖然有問題的注入確實在文件結構中放置了一個傳統的后門,但合法插件和 WordPress 帖子中的后門滴管的組合允許他們輕松地重新感染網站并保持隱藏狀態。愛掏網 - it200.com攻擊者需要做的就是訪問受感染的帖子或頁面之一和后門將被注入文件結構。愛掏網 - it200.com”
Sucuri 表示,在過去 6 個月中,它在受感染網站上檢測到超過 6,000 個后門實例,將惡意軟件直接插入數據庫的模式描述為“新的有趣的發展”。愛掏網 - it200.com
攻擊鏈需要在受感染的網站上安裝 Eval PHP 插件,并濫用它在多個帖子中建立持久性后門,這些帖子有時也保存為草稿。愛掏網 - it200.com
“Eval PHP 插件的工作方式足以將頁面保存為草稿,以便在 [evalphp] 短代碼中執行 PHP 代碼,” 東方聯盟安全研究人員解釋說,并補充說這些惡意頁面是由真正的網站管理員創建的,這表明攻擊者能夠以特權用戶身份成功登錄。愛掏網 - it200.com
這一發展再次表明惡意行為者如何嘗試不同的方法來在受感染的環境中保持立足點并逃避服務器端掃描和文件完整性監控。愛掏網 - it200.com
建議網站所有者保護WP 管理儀表板并注意任何可疑登錄,以防止威脅行為者獲得管理員訪問權限并安裝插件。愛掏網 - it200.com(歡迎轉載分享)