HackerNews 编译,转载请注明出处:
黑客正在利用 WordPress 网站中的“mu-plugins”目录隐藏恶意代码,以维持远程访问权限,并将访客重定向至虚假网站。
mu-plugins(Must-Use 插件的简称)是指位于“wp-content/mu-plugins”目录中的插件,这些插件无需通过管理员后台显式启用即可自动运行。这也使得该目录成为部署恶意软件的理想位置。
“这种方法反映了令人担忧的趋势,因为 mu-plugins 不会在标准的 WordPress 插件界面中列出,这使得它们在常规安全检查中容易被忽略,”Sucuri 研究员 Puja Srivastava 在分析中表示。
在网站安全公司分析的事件中,发现该目录中存在三种不同的恶意 PHP 代码:
- “wp-content/mu-plugins/redirect.php”:将访客重定向至外部恶意网站。“wp-content/mu-plugins/index.php”:提供类似网页后门的功能,允许攻击者通过从 GitHub 下载远程 PHP 脚本执行任意代码。“wp-content/mu-plugins/custom-js-loader.php”:向受感染网站注入垃圾信息,可能用于推广骗局或操纵搜索引擎排名。该脚本通过替换网站上的所有图片为露骨内容,并劫持外部链接至恶意网站。
Sucuri 表示,“redirect.php”伪装成浏览器更新,诱骗受害者安装可以窃取数据或投放额外恶意软件的程序。
Srivastava 解释称:“该脚本包含一个功能,可以识别当前访客是否为机器人。这使得脚本能够排除搜索引擎爬虫,防止其检测到重定向行为。”
与此同时,攻击者继续利用受感染的 WordPress 网站作为跳板,通过伪装成 Google reCAPTCHA 或 Cloudflare CAPTCHA 验证的方式,诱骗访客在 Windows 电脑上运行恶意 PowerShell 命令——这是一种名为 ClickFix 的常见策略,并用于传播 Lumma Stealer 恶意软件。
受攻击的 WordPress 网站还被用于部署恶意 JavaScript,这些脚本可以将访客重定向至不受欢迎的第三方域名,或作为支付页面上的信息窃取工具,窃取用户输入的财务信息。
目前尚不清楚这些网站是如何被攻破的,但常见的原因包括易受攻击的插件或主题、泄露的管理员凭据以及服务器配置错误。
根据 Patchstack 的最新报告,自今年年初以来,攻击者频繁利用 WordPress 插件中的四个不同安全漏洞:
- CVE-2024-27956(CVSS 评分:9.9):WordPress Automatic 插件(AI 内容生成和自动发布插件)中的未授权任意 SQL 执行漏洞。CVE-2024-25600(CVSS 评分:10.0):Bricks 主题中的未授权远程代码执行漏洞。CVE-2024-8353(CVSS 评分:10.0):GiveWP 插件中的未授权 PHP 对象注入至远程代码执行漏洞。CVE-2024-4345(CVSS 评分:10.0):Startklar Elementor Addons for WordPress 中的未授权任意文件上传漏洞。
为降低这些威胁带来的风险,WordPress 网站管理员应确保插件和主题保持最新版本,定期检查代码中的恶意软件,强制使用强密码,并部署网页应用防火墙以拦截恶意请求并防止代码注入。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
