五萬WordPress網站受WPcache-Blogger影響
責編:admin |2014-12-30 14:33:26近期WordPress安全事件最近頻發,上次出了一個惡意軟件SoakSoak,現在又來了一個與其有關的惡意軟件感染事件——WPcache-Blogger。這場事件由一個被惡意軟件控制的網站wpcache-blogger.com命名,雖然同樣由于RevSlider漏洞引起,但是攻擊手法迥異。在過去幾天里,已有5萬Wordpress網站受到影響。
WPcache-Blogger感染事件影響五萬WordPress網站
科普:
RevSlider是一款WordPress幻燈片插件,攻擊者可能利用了該插件的任意文件下載漏洞獲取了大量的WordPress的wp-config.php配置文件,并通過任意文件上傳漏洞上傳webshell對WordPress的源碼文件進行修改,插入了惡意代碼。
惡意軟件SoakSoak其主要攻擊手段是以RevSlider插件漏洞為切入點,通過上傳一個后門,然后對所有使用該服務器的網站進行感染。這就意味著即使該網站不使用RevSlider也會被感染,因此其具有強大的傳播能力。
感染集群
與惡意軟件SoakSoak不同,這次的主角WPcache-Blogger由三個感染控制體系組成了一個感染集群。在這里我們做一下詳細分析:
1.wpcache-blogger
網站wpcache-blogger.com作為惡意軟件主控端,以作遠程命令分發和控制之用。Google表示其屏蔽的12,418個黑名單網站是因為受其影響。
該網站在過去的三個月里被掛上了該惡意軟件,波及了大概12,418個網站域名,其中包括bertaltena.com,polishexpress.co.uk,maracanafoot.com。
2.ads.akeemdom.com
本感染體系似乎是SoakSoak背后的黑客組織所為,但是影響規模較小一些,據Google統計至今受影響的有6,086個網站。在過去的三個月里,影響的網站包括fitforabrideblog.com,notjustok.com,notanotherpoppie.com。
3.122.155.168.0
這個感染體系在SoakSoak事件發生之后不久開始活躍,不過最近其進度似乎慢了下來。據Google統計,受影響的網站大概有9,731個。
這個網站為惡意軟件進行分布式控制的中間件,在過去的三個月里,122.155.168.0作為中間件影響了9,731個網站,其中包括kitchenandplumbing.com,salleurl.edu,radiorumba.fm。
惡意軟件框架
據Google安全瀏覽網站列表統計,在這段時間內共有28,235網站遭到波及。而在我們內部的分析結果中,卻有超過50,000個WordPress網站在以上感染控制體系中躺槍,也就是說Google的黑名單網站庫并沒有囊括完全。
然而,WPcache-blogger事件的惡意軟件已經影響了許多網站,其強大的感染力是其最具攻擊性的的一點。當它感染了一個站點后,會在該主題的頁腳下添加如下代碼:
eval ( base64_decode("ZnVuY..
這段代碼會連接http://wpcache-blogger.com/getlinks.php,反饋信息給惡意軟件框架背后的黑客。有趣的是,在你刷新頁面時,它會通過一個iframe框架加載假冒的Google網站頁面。
真實的例子:
<iframe src="httx://theme.wpcache-blogger.com/css"…
但是它可能有時候會偽裝顯示為正常代碼,讓你難以檢測:
<iframe src="http://google.com"..
如果你發現你的網站上有個鏈接到Google.com的iframe框架時,你得檢查下自己是不是已經被黑了。
安全建議
我們建議你必須盡快升級以避免新的攻擊,盡管升級并不能清理你的網站后門,但對于控制該漏洞的危害還是有幫助的。
升級之后你需要對網站進行一個全面的安全清理和木馬后門檢測。僅僅重裝你的WordPress并不能解決問題,正如先前提到的一樣,這次的攻擊與惡意軟件soaksoak一樣,會大面積地對網站注入了后門。因此即使重裝WordPress,黑客依然可以輕松越過防護重新取得你網站的權限。