攻擊者正在使用Eval PHP，一個(gè)過(guò)時(shí)的WordPress插件，通過(guò)注入隱蔽的后門來(lái)破壞網(wǎng)站。

Eval PHP是一個(gè)廢棄的WordPress插件，它允許網(wǎng)站管理員在WordPress網(wǎng)站的頁(yè)面和文章中嵌入PHP代碼，然后在瀏覽器中打開(kāi)頁(yè)面時(shí)執(zhí)行該代碼。

該插件在過(guò)去十年中沒(méi)有更新，被默認(rèn)為是廢棄軟件，但它仍然可以通過(guò)WordPress的插件庫(kù)下載。

據(jù)網(wǎng)站安全公司Sucuri稱，使用Eval PHP在WordPress頁(yè)面上嵌入惡意代碼的跡象在2023年4月激增，現(xiàn)在WordPress插件平均每天有4000個(gè)惡意安裝。

與傳統(tǒng)的后門注入相比，這種方法的主要優(yōu)點(diǎn)是，Eval PHP可以被重新使用，以重新感染被清理過(guò)的網(wǎng)站，而且相對(duì)隱蔽。

隱蔽的數(shù)據(jù)庫(kù)注入

在過(guò)去幾周檢測(cè)到的PHP代碼注入為攻擊者提供了一個(gè)后門，使攻擊者對(duì)被攻擊的網(wǎng)站具有遠(yuǎn)程代碼執(zhí)行能力。

惡意代碼被注入到目標(biāo)網(wǎng)站的數(shù)據(jù)庫(kù)中，特別是 "wp_posts "表中。這使得它更難被發(fā)現(xiàn)，因?yàn)樗颖芰藰?biāo)準(zhǔn)的網(wǎng)站安全措施，如文件完整性監(jiān)控、服務(wù)器端掃描等。

為了做到這一點(diǎn)，攻擊者使用一個(gè)被破壞的或新創(chuàng)建的管理員賬戶來(lái)安裝Eval PHP，允許他們使用[evalphp]短代碼將PHP代碼插入被破壞網(wǎng)站的頁(yè)面中。

一旦代碼運(yùn)行，則將后門（3e9c0ca6bbe9.php）放置在網(wǎng)站根部。后門的名稱在不同的攻擊中可能有所不同。

惡意的Eval PHP插件安裝是由以下IP地址觸發(fā)的：

• 91.193.43.151
• 79.137.206.177
• 212.113.119.6

該后門不使用POST請(qǐng)求進(jìn)行C2通信以逃避檢測(cè)，相反，它通過(guò)cookies和GET請(qǐng)求傳遞數(shù)據(jù)，沒(méi)有可見(jiàn)參數(shù)。

Sucuri強(qiáng)調(diào)有必要將舊的和未維護(hù)的插件除名，因?yàn)橥{者很容易濫用這些插件來(lái)達(dá)到惡意目的，并指出Eval PHP并不是唯一有風(fēng)險(xiǎn)的插件。

在WordPress插件庫(kù)刪除該插件之前，建議網(wǎng)站調(diào)整他們的管理面板，保持他們的WordPress安裝是最新版本，并使用Web應(yīng)用防火墻。