攻击者利用废弃的WordPress插件,对网站开展后门攻击
发布时间:2023-06-16 13:01:50 所属栏目:安全 来源:
导读:这些攻击者在通过注入隐蔽后门的方式破坏网站时,正在使用一款被过时的 WordPress插件 — — Eval PHP。
Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码
Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码
|
这些攻击者在通过注入隐蔽后门的方式破坏网站时,正在使用一款被过时的 WordPress插件 — — Eval PHP。 Eval PHP是一个废弃的WordPress插件,它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码,然后在浏览器中打开页面时执行该代码。 该插件在过去十年中没有更新,被默认为是废弃软件,但它仍然可以通过WordPress的插件库下载。 据网站安全公司Sucuri称,使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增,现在WordPress插件平均每天有4000个恶意安装。 与传统的后门注入相比,这种方法的主要优点是,Eval PHP可以被重新使用,可以重新感染被清理过的网站,而且相对隐蔽。 隐蔽的数据库注入 在过去几周检测到的PHP代码注如为攻击者提供了一个后门,使攻击者对被攻击的网站具有远程代码执行能力。 恶意代码被注入到目标网站的数据库中,特别是 "wp_posts "表中。这使得它更难被发现,因为它逃避了标准的网站安全措施,如文件完整性监控、服务器端扫描等。 为了做到这一点,攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP,允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。 一旦代码运行,则将后门(3e9c0ca6bbe9.php)放置在网站根部。 以下列出的后门的名称在这些不同的防火墙攻击中有些可能相互之间有所不同。 恶意的Eval PHP插件安装是由以下IP地址触发的: 91.193.43.151 79.137.206.177 212.113.119.6 该后门不使用POST请求进行C2通信以逃避检测,相反,它通过cookies和GET请求传递数据,没有可见参数。 Sucuri强调有必要将旧的和未维护的插件除名,因为威胁者很容易滥用这些插件来达到恶意目的,并指出Eval PHP并不是唯一有风险的插件。 在WordPress插件库删除该插件之前,建议网站调整他们的管理面板,保持他们的WordPress安装是最新版本,并使用Web应用防火墙。当您尝试删除某个插件时,您可能会发现一个错误消息,提示您不要删除该插件。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
