Bleeping Computer 網(wǎng)站披露，某新型惡意軟件冒充合法緩存插件來(lái)攻擊 WordPress 網(wǎng)站，允許威脅攻擊者創(chuàng)建管理員賬戶(hù)控制網(wǎng)站的活動(dòng)。

據(jù)悉，該惡意軟件具有多種功能，不僅能夠管理插件，在被攻擊網(wǎng)站上隱藏自身的活動(dòng)插件，還可以替換內(nèi)容或?qū)⒛承┯脩?hù)重定向到其它惡意鏈接上。

“假冒”插件具體詳情

7 月份，WordPress 的 Wordfence 安全插件制造商 Defiant 公司安全分析師，在清理一個(gè)網(wǎng)站時(shí)發(fā)現(xiàn)了這個(gè)新惡意軟件。經(jīng)研究人員仔細(xì)觀(guān)察分析，發(fā)現(xiàn)該惡意軟件 "帶有專(zhuān)業(yè)的開(kāi)頭注釋"，以偽裝成緩存工具（緩存工具通常有助于減少服務(wù)器壓力和提高頁(yè)面加載時(shí)間）。

值得一提的是，惡意軟件可能是在故意模仿緩存工具，以確保在人工檢查時(shí)不會(huì)被發(fā)現(xiàn)。此外，惡意插件還被設(shè)置為將自己排除在 "活動(dòng)插件 "列表之外，以此逃避檢查。

惡意軟件具有以下功能：

• 創(chuàng)建用戶(hù)：創(chuàng)建一個(gè)名為 "superadmin "的用戶(hù)，該用戶(hù)擁有硬編碼密碼和管理員級(jí)權(quán)限，第二個(gè)功能是刪除該用戶(hù)以清除感染痕跡。

在網(wǎng)站上創(chuàng)建惡意管理員用戶(hù)（Wordfence）

• 機(jī)器人檢測(cè)：當(dāng)訪(fǎng)客被識(shí)別為機(jī)器人（如搜索引擎爬蟲(chóng)）時(shí)，惡意軟件會(huì)向它們提供不同的內(nèi)容，如垃圾郵件，導(dǎo)致它們索引被入侵網(wǎng)站的惡意內(nèi)容。因此，管理員可能會(huì)看到流量突然增加，或用戶(hù)報(bào)告抱怨被重定向到惡意位置。
• 內(nèi)容替換：惡意軟件可以更改帖子和頁(yè)面內(nèi)容，插入垃圾鏈接或按鈕。網(wǎng)站管理員會(huì)收到未修改的內(nèi)容，以延遲網(wǎng)絡(luò)攻擊者入侵的現(xiàn)象。
• 插件控制：惡意軟件操作員可以遠(yuǎn)程激活或停用被入侵網(wǎng)站上的任意 WordPress 插件。不僅如此，惡意軟件還會(huì)清除網(wǎng)站數(shù)據(jù)庫(kù)中的痕跡。

控制插件的激活/停用（Wordfence）

• 遠(yuǎn)程調(diào)用：惡意軟件能夠檢查特定用戶(hù)的代理字符串，允許網(wǎng)絡(luò)攻擊者遠(yuǎn)程激活各種惡意功能。

研究人員在一份報(bào)告中表示，在以犧牲網(wǎng)站自身的搜索引擎優(yōu)化排名和用戶(hù)隱私為代價(jià)前提下，上述功能為網(wǎng)絡(luò)攻擊者提供了遠(yuǎn)程控制受害網(wǎng)站并使其貨幣化所需的一切條件。

目前，Defiant 沒(méi)有提供任何有關(guān)被新惡意軟件入侵網(wǎng)站數(shù)量的詳細(xì)信息，其研究人員也尚未確定最初的訪(fǎng)問(wèn)載體，但已為 Wordfence 免費(fèi)版用戶(hù)發(fā)布了檢測(cè)簽名，并添加了防火墻規(guī)則，以保護(hù)高級(jí)版、關(guān)懷版和響應(yīng)版用戶(hù)免受后門(mén)攻擊。

入侵網(wǎng)站的典型方法包括竊取憑證、暴力破解密碼或利用現(xiàn)有插件或主題中的漏洞。因此，網(wǎng)站所有者應(yīng)為管理員賬戶(hù)使用強(qiáng)大的登陸憑據(jù)，保持插件更新并刪除不使用的附加組件和用戶(hù)。

文章來(lái)源：https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack-websites/