近期WordPress安全事件最近頻發(fā)，上次出了一個(gè)惡意軟件SoakSoak，現(xiàn)在又來(lái)了一個(gè)與其有關(guān)的惡意軟件感染事件——WPcache-Blogger。這場(chǎng)事件由一個(gè)被惡意軟件控制的網(wǎng)站wpcache-blogger.com命名，雖然同樣由于RevSlider漏洞引起，但是攻擊手法迥異。在過(guò)去幾天里，已有5萬(wàn)Wordpress網(wǎng)站受到影響。

[[125371]]

科普：

RevSlider是一款WordPress幻燈片插件，攻擊者可能利用了該插件的任意文件下載漏洞獲取了大量的WordPress的wp-config.php配置文件，并通過(guò)任意文件上傳漏洞上傳webshell對(duì)WordPress的源碼文件進(jìn)行修改，插入了惡意代碼。

惡意軟件SoakSoak其主要攻擊手段是以RevSlider插件漏洞為切入點(diǎn)，通過(guò)上傳一個(gè)后門，然后對(duì)所有使用該服務(wù)器的網(wǎng)站進(jìn)行感染。這就意味著即使該網(wǎng)站不使用RevSlider也會(huì)被感染，因此其具有強(qiáng)大的傳播能力。

感染集群

與惡意軟件SoakSoak不同，這次的主角WPcache-Blogger由三個(gè)感染控制體系組成了一個(gè)感染集群。在這里我們做一下詳細(xì)分析：

1.wpcache-blogger

網(wǎng)站wpcache-blogger.com作為惡意軟件主控端，以作遠(yuǎn)程命令分發(fā)和控制之用。Google表示其屏蔽的12,418個(gè)黑名單網(wǎng)站是因?yàn)槭芷溆绊憽?/p>

該網(wǎng)站在過(guò)去的三個(gè)月里被掛上了該惡意軟件，波及了大概12,418個(gè)網(wǎng)站域名，其中包括bertaltena.com，polishexpress.co.uk，maracanafoot.com。

2.ads.akeemdom.com

本感染體系似乎是SoakSoak背后的黑客組織所為，但是影響規(guī)模較小一些，據(jù)Google統(tǒng)計(jì)至今受影響的有6,086個(gè)網(wǎng)站。在過(guò)去的三個(gè)月里，影響的網(wǎng)站包括fitforabrideblog.com，notjustok.com，notanotherpoppie.com。

3.122.155.168.0

這個(gè)感染體系在SoakSoak事件發(fā)生之后不久開始活躍，不過(guò)最近其進(jìn)度似乎慢了下來(lái)。據(jù)Google統(tǒng)計(jì)，受影響的網(wǎng)站大概有9,731個(gè)。

這個(gè)網(wǎng)站為惡意軟件進(jìn)行分布式控制的中間件，在過(guò)去的三個(gè)月里，122.155.168.0作為中間件影響了9,731個(gè)網(wǎng)站，其中包括kitchenandplumbing.com，salleurl.edu，radiorumba.fm。

惡意軟件框架

據(jù)Google安全瀏覽網(wǎng)站列表統(tǒng)計(jì)，在這段時(shí)間內(nèi)共有28,235網(wǎng)站遭到波及。而在我們內(nèi)部的分析結(jié)果中，卻有超過(guò)50,000個(gè)WordPress網(wǎng)站在以上感染控制體系中躺槍，也就是說(shuō)Google的黑名單網(wǎng)站庫(kù)并沒(méi)有囊括完全。

然而，WPcache-blogger事件的惡意軟件已經(jīng)影響了許多網(wǎng)站，其強(qiáng)大的感染力是其最具攻擊性的的一點(diǎn)。當(dāng)它感染了一個(gè)站點(diǎn)后，會(huì)在該主題的頁(yè)腳下添加如下代碼：

eval ( base64_decode("ZnVuY.. 

這段代碼會(huì)連接http://wpcache-blogger.com/getlinks.php，反饋信息給惡意軟件框架背后的黑客。有趣的是，在你刷新頁(yè)面時(shí)，它會(huì)通過(guò)一個(gè)iframe框架加載假冒的Google網(wǎng)站頁(yè)面。

真實(shí)的例子：

<iframe src="httx://theme.wpcache-blogger.com/css&quot... 

但是它可能有時(shí)候會(huì)偽裝顯示為正常代碼，讓你難以檢測(cè):

<iframe src="http://google.com".. 

如果你發(fā)現(xiàn)你的網(wǎng)站上有個(gè)鏈接到Google.com的iframe框架時(shí)，你得檢查下自己是不是已經(jīng)被黑了。

安全建議

我們建議你必須盡快升級(jí)以避免新的攻擊，盡管升級(jí)并不能清理你的網(wǎng)站后門，但對(duì)于控制該漏洞的危害還是有幫助的。

升級(jí)之后你需要對(duì)網(wǎng)站進(jìn)行一個(gè)全面的安全清理和木馬后門檢測(cè)。僅僅重裝你的WordPress并不能解決問(wèn)題，正如先前提到的一樣，這次的攻擊與惡意軟件soaksoak一樣，會(huì)大面積地對(duì)網(wǎng)站注入了后門。因此即使重裝WordPress，黑客依然可以輕松越過(guò)防護(hù)重新取得你網(wǎng)站的權(quán)限。

參考來(lái)源：sucuri