网络安全研究人员发现,黑客在 WordPress 网站的 “mu-plugins” 目录中隐藏了一种新型隐形后门,借此获取持久访问权,并能执行任意操作。
01 什么是 mu-plugins?
“必须使用插件”(即 mu-plugins)是一类特殊的 WordPress 插件,会在所有站点中自动激活,默认存储在 “wp-content/mu-plugins” 目录下。
这类插件对攻击者而言极具吸引力:它们不会出现在 wp-admin 后台的插件列表中,且除非从必须使用插件目录中删除文件,否则无法被禁用。正因如此,利用这种技术的恶意软件能悄无声息地运行,很难引起用户警觉。
02 后门的技术细节
网络安全公司 Sucuri 发现的这起攻击中,mu-plugins 目录下的 PHP 脚本 “wp-index.php” 充当了加载器,负责获取下一阶段的恶意代码(payload),并将其存储在 WordPress 数据库的 wp_options 表中,字段名为 “_hdra_core”。
获取远程恶意代码的 URL 经过了 ROT13 加密处理 — 这是一种简单的替换密码,会将每个字母替换为其后第 13 个字母(例如 A 替换为 N,B 替换为 O,以此类推)。
安全研究员普贾・斯里瓦斯塔瓦表示:“获取到的内容会临时写入磁盘并执行。这种后门能让攻击者持久控制网站,还能远程运行任意 PHP 代码。”
03 黑客的恶意操作
具体来说,该后门会在主题目录中注入一个隐藏的文件管理器 “pricing-table-3.php”,让攻击者能浏览、上传或删除文件;同时会创建名为 “officialwp” 的管理员账户,还会下载并激活一个名为 “wp-bot-protect.php” 的恶意插件。
更棘手的是,即便恶意文件被删除,这款恶意软件也能重新植入感染;它还会修改常见管理员账户(如 “admin”“root”“wpsupport”)的密码,将其改为攻击者预设的密码,甚至包括它自己创建的 “officialwp” 账户。
这意味着攻击者既能持久控制网站,又能有效锁定其他管理员 — 他们可借此窃取数据、植入恶意代码(向访客推送恶意软件),或把用户重定向到诈骗网站。
斯里瓦斯塔瓦指出:“攻击者获得完整的管理员权限和持久后门后,能在网站上为所欲为,从安装更多恶意软件到篡改网站内容都不在话下。远程命令执行和内容注入功能还能让他们随时改变恶意软件的行为。”
04 防范建议
为防范此类威胁,网站管理员需定期更新 WordPress 核心程序、主题及插件,为账户启用双因素认证,并定期审计网站的所有部分(包括主题和插件文件)。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
