攻擊者正在使用Eval PHP��,一個過時的WordPress插件�����,通過注入隱蔽的后門來破壞網站��。
(相關資料圖)
Eval PHP是一個廢棄的WordPress插件�,它允許網站管理員在WordPress網站的頁面和文章中嵌入PHP代碼,然后在瀏覽器中打開頁面時執(zhí)行該代碼����。
該插件在過去十年中沒有更新�����,被默認為是廢棄軟件�����,但它仍然可以通過WordPress的插件庫下載���。
據(jù)網站安全公司Sucuri稱,使用Eval PHP在WordPress頁面上嵌入惡意代碼的跡象在2023年4月激增����,現(xiàn)在WordPress插件平均每天有4000個惡意安裝。
與傳統(tǒng)的后門注入相比�,這種方法的主要優(yōu)點是,Eval PHP可以被重新使用�,以重新感染被清理過的網站,而且相對隱蔽�����。
隱蔽的數(shù)據(jù)庫注入
在過去幾周檢測到的PHP代碼注入為攻擊者提供了一個后門,使攻擊者對被攻擊的網站具有遠程代碼執(zhí)行能力�。
惡意代碼被注入到目標網站的數(shù)據(jù)庫中,特別是 "wp_posts "表中�。這使得它更難被發(fā)現(xiàn),因為它逃避了標準的網站安全措施�,如文件完整性監(jiān)控、服務器端掃描等��。
為了做到這一點��,攻擊者使用一個被破壞的或新創(chuàng)建的管理員賬戶來安裝Eval PHP����,允許他們使用[evalphp]短代碼將PHP代碼插入被破壞網站的頁面中。
一旦代碼運行�,則將后門(3e9c0ca6bbe9.php)放置在網站根部��。后門的名稱在不同的攻擊中可能有所不同�。
惡意的Eval PHP插件安裝是由以下IP地址觸發(fā)的:
91.193.43.15179.137.206.177212.113.119.6
該后門不使用POST請求進行C2通信以逃避檢測,相反���,它通過cookies和GET請求傳遞數(shù)據(jù)�����,沒有可見參數(shù)��。
Sucuri強調有必要將舊的和未維護的插件除名����,因為威脅者很容易濫用這些插件來達到惡意目的,并指出Eval PHP并不是唯一有風險的插件�����。
在WordPress插件庫刪除該插件之前����,建議網站調整他們的管理面板,保持他們的WordPress安裝是最新版本����,并使用Web應用防火墻。
