详细内容或原文请订阅后点击阅览
在Mu-Plugins目录中隐藏WordPress恶意软件以避免检测
Sucuri研究人员发现了在Mu-Plugins目录中部署WordPress恶意软件的威胁参与者以逃避安全检查。 2月,Sucuri警告说,威胁性参与者利用WordPress Mu-Plugins(无激活而自动加载),通过隐藏插件目录中的后门来保持持久性和逃避检测。 “与常规插件不同,必使用的插件会自动在每个页面加载上加载,[…]
来源:Security Affairs _恶意软件在Mu-Plugins目录中隐藏WordPress恶意软件以避免检测
Sucuri研究人员发现了在Mu-Plugins目录中部署WordPress恶意软件的威胁参与者以逃避安全检查。
2月,Sucuri警告说,威胁性参与者利用WordPress Mu-Plugins(无激活而自动载荷)来维持持久性并通过隐藏插件目录中的后门来保持持久性和逃避检测。
“与常规插件不同,必用的插件会自动在每个页面加载上加载,而无需激活或出现在标准插件列表中。攻击者利用此目录以保持持久性和逃避检测,因为此处放置在此处放置的文件自动执行并且不容易从WordPress Adminem中禁用。”州苏克里。 “这使其成为后门的理想位置,使攻击者可以偷偷地执行恶意代码。”
状态攻击者使用Mu-Plugins中混淆的PHP从/wp-content/uploads/2024/12/index.txt执行隐藏有效载荷,使用functions eval()隐秘地运行任意代码。
/wp-content/uploads/2024/12/index.txt
eval()
脚本构造一个URL,将请求发送到外部服务器,通过file_get_contents()获取内容或curl,修改robots.txt,检查响应标记和pings stitemaps。研究人员指出,脚本可以操纵网站行为,逃避检测并促进重定向。
file_get_contents()
robots.txt
专家详细介绍了隐藏在Mu-Plugins目录中的两种恶意软件案例,这些案例使用不同的方法来损害WordPress站点。
Mu-Plugins目录中的恶意软件包括一个假更新重定向(redirect.php),用于完整站点控制的Webshell(index.php)和垃圾邮件注射器(custom-js-loader.php)。这些恶意软件允许攻击者重定向用户,执行任意代码和注射垃圾邮件,并与WordPress站点中隐藏的后门上的过去发现保持一致。
redirect.php
index.php
custom-js-loader.php
mu-plugins
报告
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
Facebook