伪造WordPress插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如initiatorseo和updrat123等。风,毫无预兆地席卷整片旷野,撩动人的思绪万千。
黑客依照UpdraftPlus伪造了这些恶意插件。前者拥有超过200万活跃用户,并且会定期发布更新。
恶意插件隐藏在WordPress首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。
这些后门通过POST请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。
到目前为止,这些POST参数对于每个插件都是特定的。黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过WordPress插件安装的后门。
此外,受感染的网站可能会遭到恶意攻击,包括DDoS和暴力攻击,发送垃圾邮件或被用于挖矿。