首页
论坛
专栏
课程

WordPress暗藏两大恶意插件,可安装后门和挖掘加密货币

Editor 发布于 看雪学院 2019-10-21 18:09



2003年WordPress从b2/cafelog分支出第一个版本,如今已经成为最受欢迎的自由开源的博客软件和内容管理系统。

然而近期WordPress被曝存在一些恶意插件,活动数量超过200万。


WordPress是什么?



WordPress作为一款内容管理程序,适用于任务类型网站,旨在为每个用户提供在线内容发布功能,并提供任务种类的内容信息共享,其插件库和主题库也在不断扩展中。

此外,WordPress拥有灵活的插件架构和模板系统,满足了所有人对博客从功能到形式的需求,使得WordPress的用户遍布全球。

同时,WordPress使用开源PHP语言代码文本,始终免费为用户提供服务,同时也不断优化添加其功能,更新和改进核心代码,以适应用户需求。

WordPress与社区的开发人员合作,让它变得更安全,然而一个不小心,就有恶意插件混了进来。



利用二进制文件挖掘加密货币



狸猫换太子,攻击者使用伪造的插件冒充WordPress公共存储库中的插件,使用同样的名称来迷惑用户的视线,只需要对合法插件的代码进行恶意修改就可以完成,目前已被发现有400多次安装。

一旦用户下载此插件,攻击者就可获取服务器的访问权限,同时还可以运行Linux二进制文件的代码挖掘加密货币。



即使删除感染媒介也无济于事,依然可以使攻击者访问服务器并在博客上加密内容。



伪造插件暗藏恶意后门



除了上述插件之外,攻击者还在WordPress网站上安装恶意后门来获取权限,并上传Web Shell和脚本来强行控制其他站点。

恶意插件主要克隆WordPress的合法插件,以其受欢迎的功能来吸引用户下载,实际上会在下载的过程中安装后门。

攻击者利用后门通过POST请求能够将出于恶意目的的任意文件上传到受感染网站的服务器。

件上传功能

这些文件包含下载位置信息,获得文件路径以及文件的相关参数。

此外,攻击者还将Web Shell(恶意脚本提供对服务器的远程访问)放在受感染服务器的随机位置,使攻击者能够对其他网站发起DDoS和暴力攻击,以轻松获得目标站点的大量登录凭证。

这些伪造插件使WordPress面临安全风险,用户使用时还需小心谨慎。


* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。

分享到:
最新评论 (0)
登录后即可评论