过时的插件成为在线骗子的甘露
新研究透露,攻击者通过未捕获和寿命末插件控制了2,000多个WordPress网站,以将毫无戒心的访问者重定向到调查beplay体育能用吗网站。
流行内容管理系统的脆弱插件包括CP联系表与PayPal,一个带有3,000多个主动装置的插件,现在已删除的插件简单字段。
发现攻击的研究人员发现,恶意的JavaScript被注入了WordPressindex.php主题文件在被妥协的站点上,触发了一系列重定向到恶意域。
在一个博客文章Sucuri的Luke Leal解释了他的发现,说明了家和siteurl定义在wp_options表是“恶意行为的第一批危险信号之一”。
随后的第二个恶意JavaScript有效载荷的交付为攻击者提供了一个桥梁,用于将其他恶意软件(如PHP后门和HackTools)注入其他主题文件,以维持对受感染网站的持续访问。beplay体育能用吗
如果是checkone()函数验证站点访问者有一个“登录”cookie并从内部要求有效载荷/wp-adminURL,研究人员说,然后是JavaScript功能位置用于将访客重定向到存储在ijmjg多变的。
恶意重定向URL显然隐藏在UTF-16代码单元中,而不是ASCII字符中ijmjg变量和string.fromcharcode()功能。利用/*某些无用文本*/格式攻击者添加了评论作为逃避技术,以进一步隐藏混淆。
攻击者还上传了假插件目录的邮政编码,该目录包含其他恶意软件/wp-admin/includes/plugin-install.php档案并将其拉开/wp-content/插件/。
Leal说,要注意的两个最常见的假插件目录是/wp-content/plugins/supersociall/supersociall.php和/wp-content/plugins/blockspluginn/blockspluginn.php。
研究人员敦促WordPress站点的所有者禁用主文件夹的修改,并将其转介给Sucuri的。WordPress安全的最佳实践指南。
Leal认为,这次攻击运动似乎在一月份的第三周达到顶峰,但仍具有势头。
他说:“我们预计攻击者将继续注册新的领域,或者利用现有的未使用域名 - 随着越来越多的安全供应商在这种感染中使用的黑名单域名。”
每日swbeplay2018官网ig已邀请Securi进一步评论这些发现。