恶意软件Soaksoak卷土重来?小心你的wordpress网站

2014-12-24 167452人围观 ,发现 6 个不明物体 资讯

前不久,Soaksoak曾因感染了十万多个wordpress网站而名声大噪,从上周日的情况来看,Soaksoak大有卷土重来之势。


Freebuf科普:

Soaksoak恶意软件,来源于SoakSoak.ru,其主要攻击手段是通过RevSlider的漏洞作为切入点,上传一个后门,然后对所有使用相同服务器的网站进行感染。这就意味着即使该网站不使用RevSlider也会被感染,被感染的visitor-facing部分主要包含两个文件:

wp-includes/js/swfobject.js
wp-includes/template-loader.php

对被感染的网站进行更为详尽的检测后发现,该恶意软件出现了变种,除了上面两种文件,还有一个名为wp-includes/js/swfobjct.swf的文件(不包含后门和RevSlider的漏洞)也同样会导致感染。

卷土重来
就目前来看,被感染的网站主要是因为没有对RevSlider插件进行更新;服务器日志显示,该软件试图定位并感染更多使用旧版本RevSlider的网站。

这次攻击,攻击者改变了注入恶意代码的Javascript文件,现在变为wp-includes/js/json2.min.js.。而且wp-includes/template-loader.php中相应的代码也发生了改变。

wp-includes/js/json2.min.js中的恶意代码仍然是加载wp-includes/js/swfobjct.swf,但是这个代码现在变得更为复杂了。以下为代码的解析版:

swfobjct.swf中URL隐藏的框架取决于来自hxxp://ads .akeemdom . com/db26的脚本以及加载有恶意软件的json2.min.js。

[参考来源SucuriBlog,译/Change,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

更多精彩
相关推荐
发表评论

已有 6 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php