该攻击是由 Jetpack 的研究职员创造的,Jetpack 是 WordPress 网站安全和优化工具的创建者,他们创造 PHP 后门已被添加到主题和插件中。
Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以毁坏软件并传染更多的 WordPress 网站。
一旦管理员在他们的网站上安装了一个受传染的 AccessPress 产品,就会在主主题目录中添加一个新的“initial.php”文件,并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载,它将 webshell 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装,本色上是让攻击者远程掌握受传染的站点。
检测这种威胁的唯一方法是利用核心文件完全性监控办理方案,由于恶意软件会删除“initial.php”文件开释器以粉饰其踪迹。
我受到影响吗?
如果您在您的网站上安装了个中一个受传染的插件或主题,则删除/更换/更新它们不会拔除任何可能通过它植入的 webshell。
因此,建议网站管理员通过实行以下操作来扫描他们的网站是否存在入侵迹象:
检讨您的 wp-includes/vars.php 文件的第 146-158 行。如果您在那里看到带有一些稠浊代码的“wp_is_mobile_fix”函数,那么您已经被入侵了。在您的文件系统中查询“wp_is_mobile_fix”或“wp-theme-connect”以查看是否有任何受影响的文件用新副本更换您的核心 WordPress 文件。升级受影响的插件并切换到不同的主题。变动 wp-admin 和数据库密码。Jetpack 供应了以下 YARA 规则,可用于检讨站点是否已被传染并检测 dropper 和已安装的 webshell:
rule accesspress_backdoor_infection{strings: // IoC's for the dropper $inject0 = "$fc = str_replace('function wp_is_mobile()'," $inject1 = "$b64($b) . 'function wp_is_mobile()'," $inject2 = "$fc);" $inject3 = "@file_put_contents($f, $fc);" // IoC's for the dumped payload $payload0 = "function wp_is_mobile_fix()" $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');" $payload2 = "$g = $_COOKIE;" $payload3 = "(count($g) == 8 && $is_wp_mobile) ?" $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/condition: all of ( $inject ) or all of ( $payload ) or $url0}
原文链接:PHP的93个WordPress插件有后门
