Bleeping Computer 網(wǎng)站披露，某新型惡意軟件冒充合法緩存插件來攻擊 WordPress 網(wǎng)站，允許威脅攻擊者創(chuàng)建管理員賬戶控制網(wǎng)站的活動。

據(jù)悉，該惡意軟件具有多種功能，不僅能夠管理插件，在被攻擊網(wǎng)站上隱藏自身的活動插件，還可以替換內(nèi)容或?qū)⒛承┯脩糁囟ㄏ虻狡渌鼝阂怄溄由稀?/p>

“假冒”插件具體詳情

7 月份，WordPress 的 Wordfence 安全插件制造商 Defiant 公司安全分析師，在清理一個網(wǎng)站時發(fā)現(xiàn)了這個新惡意軟件。經(jīng)研究人員仔細觀察分析，發(fā)現(xiàn)該惡意軟件 "帶有專業(yè)的開頭注釋"，以偽裝成緩存工具（緩存工具通常有助于減少服務(wù)器壓力和提高頁面加載時間）。

值得一提的是，惡意軟件可能是在故意模仿緩存工具，以確保在人工檢查時不會被發(fā)現(xiàn)。此外，惡意插件還被設(shè)置為將自己排除在 "活動插件 "列表之外，以此逃避檢查。

惡意軟件具有以下功能：

• 創(chuàng)建用戶：創(chuàng)建一個名為 "superadmin "的用戶，該用戶擁有硬編碼密碼和管理員級權(quán)限，第二個功能是刪除該用戶以清除感染痕跡。

在網(wǎng)站上創(chuàng)建惡意管理員用戶（Wordfence）

• 機器人檢測：當(dāng)訪客被識別為機器人（如搜索引擎爬蟲）時，惡意軟件會向它們提供不同的內(nèi)容，如垃圾郵件，導(dǎo)致它們索引被入侵網(wǎng)站的惡意內(nèi)容。因此，管理員可能會看到流量突然增加，或用戶報告抱怨被重定向到惡意位置。
• 內(nèi)容替換：惡意軟件可以更改帖子和頁面內(nèi)容，插入垃圾鏈接或按鈕。網(wǎng)站管理員會收到未修改的內(nèi)容，以延遲網(wǎng)絡(luò)攻擊者入侵的現(xiàn)象。
• 插件控制：惡意軟件操作員可以遠程激活或停用被入侵網(wǎng)站上的任意 WordPress 插件。不僅如此，惡意軟件還會清除網(wǎng)站數(shù)據(jù)庫中的痕跡。

控制插件的激活/停用（Wordfence）

• 遠程調(diào)用：惡意軟件能夠檢查特定用戶的代理字符串，允許網(wǎng)絡(luò)攻擊者遠程激活各種惡意功能。

研究人員在一份報告中表示，在以犧牲網(wǎng)站自身的搜索引擎優(yōu)化排名和用戶隱私為代價前提下，上述功能為網(wǎng)絡(luò)攻擊者提供了遠程控制受害網(wǎng)站并使其貨幣化所需的一切條件。

目前，Defiant 沒有提供任何有關(guān)被新惡意軟件入侵網(wǎng)站數(shù)量的詳細信息，其研究人員也尚未確定最初的訪問載體，但已為 Wordfence 免費版用戶發(fā)布了檢測簽名，并添加了防火墻規(guī)則，以保護高級版、關(guān)懷版和響應(yīng)版用戶免受后門攻擊。

入侵網(wǎng)站的典型方法包括竊取憑證、暴力破解密碼或利用現(xiàn)有插件或主題中的漏洞。因此，網(wǎng)站所有者應(yīng)為管理員賬戶使用強大的登陸憑據(jù)，保持插件更新并刪除不使用的附加組件和用戶。

文章來源：https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack-websites/