最近90万个WordPress网站被入侵并植入后门

近日,有超过90万个WordPress网站遭受黑客入侵攻击,并且将网站的访客重定向到恶意网站,即使管理员登录的后台也被添加了后门。

这次入侵攻击发现时间由2020年4月28日开始,在接下来的几天里入侵攻击突然上升了将近30倍。据悉,这整个攻击活动是由一个黑客进行的,在过去的一个月中,他使用了将近24000个IP地址,将恶意后门程序植入给超过900000多个站点,直至目前此黑客仍然一直在跟踪而且不断扫描各类网站,扩大跨站点脚本(XSS)漏洞攻击。

最近90万个WordPress网站被入侵并植入后门最近90万个WordPress网站被入侵并植入后门

漏洞目标

在整个攻击过程中,黑客利用了WordPress多个漏洞为目标进行入侵攻击。根据网络情报,我们收集了以下最受黑客喜欢的针对性漏洞:

  • Easy2Map插件中的XSS漏洞已于2019年8月从WordPress插件存储库中删除,但该插件仍然有数千个网站安装并且使用中。此次攻击中,安装此插件的网站占所有攻击的一半以上。
  • Blog Designer中的XSS漏洞也在2019年修复,这个漏洞是最早被黑客喜欢利用的目标之一。但目前,此易受攻击的插件的安装数量仍然高达1000个。WP GDPR合规性中的一个选项更新漏洞已于2018年末修复,该漏洞使攻击者可以更改网站的首页URL地址以及其他选项,该插件的安装量超过100000个网站。
  • Total Donations中存在一个选项更新漏洞,该漏洞也使攻击者可以像上面一样更改站点的首页URL地址。但是,在2019年初,此插件已从Envato市场永久删除,目前它的安装量仍然上千个。
  • 流行的和最常用的WordPress主题之一,Newspaper中的XSS漏洞已于2016年进行了修补,但可能有部分网站仍然使用其网站主题,因为此漏洞也是黑客的攻击目标之一。

分解攻击数据

这些攻击大多数都试图注入通常位于count。trackstatisticssss。com / STM上的各种恶意JavaScript。接下来,将这些文件放入站点,以便它们由管理员的浏览器执行。但是在少数情况下,他们使用恶意脚本的通用URL,而其他情况则仅依靠String.fromCharCode来混淆插入的网站部分脚本。

WordPress分解攻击数据WordPress分解攻击数据

另外,在后门中,黑客还会从https:// stat。trackstatisticssss。com / n.txt下载了不同的有效负载,对其进行了base64_decode编码,然后将其保留在临时目录中。 尝试通过将其添加到主题标题中进行管理,从而提取临时文件的权限进行下一步入侵。

WordPress分解攻击数据WordPress分解攻击数据

黑客就是利用了这种方法,可以让他保持对站点的控制,因为黑客可以轻松地通过https:// stat。trackstatisticssss。com / n.txt调整文件的内容。

如何解决?

现在,大多数使用WordPress的站长感到困惑,因为站长们没有好的办法来应对这个问题。所以,站长要做的第一件事,只能通过后台升级插件或删除有漏洞的插件。按目前的情况,黑客可能会一直长期利用WordPress的这些漏洞为目标进行攻击。所以,如果您正在使用WordPress程序,那就要一直提高警惕,把网站的防火墙开起来,同时关注程序官方是否推出漏洞进行修补,并且随时做好数据备份。

另外,国外某安全公司通告说,黑客目前有足够先进的新的入侵技术能力,并且可能在将来利用其他漏洞。所以, 我们建议使用WordPres的网长们要及时更新已
安装的主题和插件了。