攻击者利用废弃的WordPress插件,对网站进行后门攻击

安全
攻击者正在使用Eval PHP,一个过时的WordPress插件,通过注入隐蔽的后门来破坏网站。

攻击者正在使用Eval PHP,一个过时的WordPress插件,通过注入隐蔽的后门来破坏网站。

Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码,然后在浏览器中打开页面时执行该代码。

该插件在过去十年中没有更新,被默认为是废弃软件,但它仍然可以通过WordPress的插件库下载。

据网站安全公司Sucuri称,使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增,现在WordPress插件平均每天有4000个恶意安装。

与传统的后门注入相比,这种方法的主要优点是,Eval PHP可以被重新使用,以重新感染被清理过的网站,而且相对隐蔽。

隐蔽的数据库注入

在过去几周检测到的PHP代码注入为攻击者提供了一个后门,使攻击者对被攻击的网站具有远程代码执行能力。

恶意代码被注入到目标网站的数据库中,特别是 "wp_posts "表中。这使得它更难被发现,因为它逃避了标准的网站安全措施,如文件完整性监控、服务器端扫描等。

为了做到这一点,攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP,允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。

一旦代码运行,则将后门(3e9c0ca6bbe9.php)放置在网站根部。后门的名称在不同的攻击中可能有所不同。

恶意的Eval PHP插件安装是由以下IP地址触发的:

  • 91.193.43.151
  • 79.137.206.177
  • 212.113.119.6

该后门不使用POST请求进行C2通信以逃避检测,相反,它通过cookies和GET请求传递数据,没有可见参数。

Sucuri强调有必要将旧的和未维护的插件除名,因为威胁者很容易滥用这些插件来达到恶意目的,并指出Eval PHP并不是唯一有风险的插件。

在WordPress插件库删除该插件之前,建议网站调整他们的管理面板,保持他们的WordPress安装是最新版本,并使用Web应用防火墙。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-11-04 05:48:43

SSL加密攻击勒索软件

2021-04-29 09:36:23

攻击漏洞Kubernetes

2022-03-05 12:00:11

网络钓鱼网络攻击

2021-09-22 14:39:44

PRISM后门攻击

2022-01-04 11:58:49

Docker API网络攻击文件加密

2021-11-11 12:03:37

勒索软件攻击漏洞

2022-02-13 23:12:34

网络钓鱼谷歌Google

2023-10-25 15:08:23

2011-08-30 09:39:10

2022-01-24 07:35:39

XLL网络攻击恶意软件

2022-03-15 11:51:33

网络钓鱼Intuit公司报税软件

2010-05-21 15:10:27

2024-04-17 08:00:00

2014-08-20 09:44:57

2011-05-16 09:19:51

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2016-01-05 15:54:32

2021-08-02 08:55:50

Argo网络Kubernetes云集群

2023-06-01 15:30:21

2022-05-05 16:24:21

APT网络攻击后门
点赞
收藏

51CTO技术栈公众号