0x01 概述
我们一直在监控特定的WordPress感染几个月了,这里分享一下有关它的细节。
这些攻击将恶意JavaScript代码插入到可以找到的每个.js文件中,由于注射器代码中的错误,它会感染扩展名包含“.js”(例如.js.php或.json)的文件。以前此恶意软件的版本只注入jquery.js这个文件,但现在我们要从数百个受感染文件中删除此恶意代码。
混淆的恶意代码可以被十六进制编码的字符串识别,而且恶意代码通常会附加到文件的合法内容中。在某些变体中,恶意变体将恶意代码注入文件的最上方:
JS文件底部恶意注入的示例
此代码从第三方服务器加载另一个脚本:
这个脚本通过重定向将首次访问者重定向到别的广告网站或钓鱼网站
该脚本将csrf_uid cookie设置为三天,来排除返回的访问者。它还确保访问者在WordPress管理界面中不能工作(以避免对网站管理员的怀疑)。
现在我们知道恶意软件的工作原理了,让我们来讨论WordPress网站如何被感染。我们使用访问日志跟踪攻击。下面我们一步一步地展示。
0x02 暴力攻击
攻击从对/xmlrpc.php或者/wp-login.php的多个请求开始(它们允许测试多个用户名/密码组)。找到匹配组合后,攻击者登录到WordPress管理界面。
在我们的例子中,攻击者使用了两个乌克兰的IP:46.118.123.228和46.118.155.216。以前有其他人注意到了同样的攻击模式,但是,在他们的情况下,IP属于CloudFlare的,因为被攻击的网站是在CloudFlare防火墙后面的;所以并没有把真正的攻击者IP放入到日志中(提示:你可能要配置你的webserver记录HTTP_CF_CONNECTING_IP头的值)。
0x03 上传后门
一旦攻击者进入后台,他们会立即打开主题编辑器并修改活动主题的404.php文件。
攻击者也可能会尝试上传受感染的主题和插件。
在一些网站上,他们安装了相当多的恶意主题和插件。例如,这是我们在一个网站上发现的:
恶意插件:
./wordpress/wp-content/plugins/arts/
./wordpress/wp-content/plugins/wats/
./wordpress/wp-content/plugins/waths/
./wordpress/wp-content/plugins/three-column-screen-layout/
./wordpress/wp-content/plugins/threelayout/
./wordpress/wp-content/plugins/three-column/
./wordpress/wp-content/plugins/three-screen-layout/
./wordpress/wp-content/plugins/foo-screen-layout/
./wordpress/wp-content/plugins/three-scr-layout/
./wordpress/wp-content/plugins/thr-col-scr/
./wordpress/wp-content/plugins/insert-php/
./wordpress/wp-content/plugins/insert/
后门主题:
./wordpress/wp-content/themes/phantomlife/
./wordpress/wp-content/themes/hantomlite/
./wordpress/wp-content/themes/phanton/
./wordpress/wp-content/themes/phantol/
./wordpress/wp-content/themes/phamton/
./wordpress/wp-content/themes/gaukingo/
./wordpress/wp-content/themes/jaukinjo/
./wordpress/wp-content/themes/gauking/
./wordpress/wp-content/themes/gakingo/
./wordpress/wp-content/themes/gaugo/
./wordpress/wp-content/themes/kingo/
./wordpress/wp-content/themes/gaingo/
如果你仔细观察主题和插件名称的话,你可以看到它们使用有限术语和规则字典自动生成的。例如:“three-column-screen-layout,three-screen-layout,three-scr-layout,foo-screen-layout,thr-col-scr,threelayout,three-column”或“phantomlife,hantomlite,phanton,phanton,phamton“。
在一般情况下,这些主题和插件均基于合法的软件。攻击者只需将后门文件添加到其中(例如db.php),或者将后门代码注入到footer.php等文件中。
在db.php文件中,我们可以看到使用FOPO混淆器加密的WSO/FilesMan webshell。
加密的db.php内容
在footer.php中,我们看到攻击者使用了不同的混淆算法加密webhell。
被模糊的webshell中的footer.php
为了使感染的存活时间更长,攻击者会将更多的webshell上传到各种位置,如站点根目录,上传目录等等。
0x04 恶意软件注射器
除了webshell之外,此攻击还会创建多个恶意软件注入脚本,如将恶意JS代码注入到.js文件中的脚本。这样的脚本可以在受感染的主题内找到,名称如404.php,db.php,cache.php。在uploads目录中,它们也可以命名为index.php。
这些文件都有类似的内容:一个常量,常量中包含恶意的JavaScript代码和遍历服务器目录的函数,并将该代码注入到具有.js扩展名的文件中。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
| 
注册
登录
