攻擊者正在使用Eval PHP����,一個過時的WordPress插件,通過注入隱蔽的后門來破壞網(wǎng)站�����。
(相關(guān)資料圖)
Eval PHP是一個廢棄的WordPress插件��,它允許網(wǎng)站管理員在WordPress網(wǎng)站的頁面和文章中嵌入PHP代碼�,然后在瀏覽器中打開頁面時執(zhí)行該代碼。
該插件在過去十年中沒有更新���,被默認(rèn)為是廢棄軟件��,但它仍然可以通過WordPress的插件庫下載����。
據(jù)網(wǎng)站安全公司Sucuri稱��,使用Eval PHP在WordPress頁面上嵌入惡意代碼的跡象在2023年4月激增�����,現(xiàn)在WordPress插件平均每天有4000個惡意安裝�。
與傳統(tǒng)的后門注入相比,這種方法的主要優(yōu)點是,Eval PHP可以被重新使用��,以重新感染被清理過的網(wǎng)站�����,而且相對隱蔽��。
隱蔽的數(shù)據(jù)庫注入
在過去幾周檢測到的PHP代碼注入為攻擊者提供了一個后門����,使攻擊者對被攻擊的網(wǎng)站具有遠(yuǎn)程代碼執(zhí)行能力。
惡意代碼被注入到目標(biāo)網(wǎng)站的數(shù)據(jù)庫中�,特別是 "wp_posts "表中。這使得它更難被發(fā)現(xiàn)����,因為它逃避了標(biāo)準(zhǔn)的網(wǎng)站安全措施,如文件完整性監(jiān)控�����、服務(wù)器端掃描等�����。
為了做到這一點��,攻擊者使用一個被破壞的或新創(chuàng)建的管理員賬戶來安裝Eval PHP�����,允許他們使用[evalphp]短代碼將PHP代碼插入被破壞網(wǎng)站的頁面中����。
一旦代碼運行,則將后門(3e9c0ca6bbe9.php)放置在網(wǎng)站根部���。后門的名稱在不同的攻擊中可能有所不同�����。
惡意的Eval PHP插件安裝是由以下IP地址觸發(fā)的:
91.193.43.15179.137.206.177212.113.119.6
該后門不使用POST請求進(jìn)行C2通信以逃避檢測�����,相反���,它通過cookies和GET請求傳遞數(shù)據(jù),沒有可見參數(shù)����。
Sucuri強調(diào)有必要將舊的和未維護(hù)的插件除名��,因為威脅者很容易濫用這些插件來達(dá)到惡意目的��,并指出Eval PHP并不是唯一有風(fēng)險的插件�����。
在WordPress插件庫刪除該插件之前����,建議網(wǎng)站調(diào)整他們的管理面板�����,保持他們的WordPress安裝是最新版本����,并使用Web應(yīng)用防火墻。
