详细内容或原文请订阅后点击阅览
在WordPress Mu-Plugins文件夹中发现的隐形后门
在WordPress Mu-Plugins文件夹中发现了一个新的隐形后门,允许攻击者持续访问并控制折衷的站点。 Sucuri的研究人员发现,WordPress的“ Mu-Plugins”文件夹中隐藏了一个隐秘的后门。这些插件会自动运行,并允许攻击者隐藏在管理中,并保持持久性。 “必使用的插件”是特殊的WordPress插件,不能是[…]
来源:Security Affairs _恶意软件在WordPress Mu-Plugins文件夹中发现的隐形后门
在WordPress Mu-Plugins文件夹中发现了一个新的隐形后门,允许攻击者持续访问并控制折衷的站点。
Sucuri研究人员发现,隐藏在WordPress的“ Mu-Plugins”文件夹中的隐形后门。这些插件会自动运行,并允许攻击者隐藏在管理中,并保持持久性。
“必用插件”是特殊的WordPress插件,无法从WordPress管理面板中停用。专家在MU-Plugins文件夹中找到了恶意PHP文件(“ WP-INDEX.PHP”),以充当加载程序。它获取一个混淆的(rot13)有效载荷,然后将其存储在_hdra_core选项下的WordPress数据库中。
“必须使用的插件”后门将有效载荷写入磁盘并运行。它使用Rot13,一个简单,可逆的信用转移技巧(例如,“ Helloworld”→“ Uryybjbeyq”。每个字母在字母中旋转13个位置(a↔n,b↔o,c↔p等)。
a n,b o,c p恶意软件解码rot13 URL以获取基本64编码的有效载荷,将其偷偷地存储在WordPress _HDRA_CORE选项中,然后解码并执行它,剩下最小的跟踪。来自cron.php的有效载荷包括一个隐藏的文件管理器(定价-3.php),并创建管理用户(官方wp)。它还强制安装恶意插件(WP-bot-protect.php),以恢复后门。
“令人震惊的是,此恶意软件还包含一个功能,以更改几个常见的管理用户名(包括管理员,root,wpsupport,甚至其自己的官方WP用户)的密码为攻击者设置的默认密码。”阅读Sucuri发布的报告。
报告“如果合法管理员更改密码或锁定其他管理员,这是攻击者重新获得访问的一种方式。”
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
(SecurityFaffairs - 黑客,WordPress)
SecurityFaffairs