前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >WPcache-Blogger感染事件影响五万WordPress网站

WPcache-Blogger感染事件影响五万WordPress网站

作者头像
安恒信息
发布2018-04-11 14:29:19
7240
发布2018-04-11 14:29:19
举报
文章被收录于专栏:安恒信息

近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又出现一个与其有关的恶意软件感染事件—WPcache-Blogger。这次事件由一个被恶意软件控制的网站wpcache-blogger.com命名,虽然同样由于RevSlider漏洞引起,但是攻击手法迥异。在过去几天里,已有5万Wordpress网站受到影响。

与上次介绍的恶意软件SoakSoak不同,这次的主角WPcache-Blogger由三个感染控制体系组成了一个感染集群。以下是详细分析:

1.wpcache-blogger

网站wpcache-blogger.com作为恶意软件主控端,以作远程命令分发和控制之用。Google表示其屏蔽的12,418个黑名单网站是因为受其影响。该网站在过去的三个月里被挂上了该恶意软件,波及了大概12,418个网站域名,其中包括bertaltena.com,polishexpress.co.uk,maracanafoot.com。

2.ads.akeemdom.com

本感染体系似乎是SoakSoak背后的黑客组织所为,但是影响规模较小一些,据统计至今受影响的有6,086个网站。在过去的三个月里,影响的网站包括fitforabrideblog.com,notjustok.com,notanotherpoppie.com。

3.122.155.168.0

这个感染体系在SoakSoak事件发生之后不久开始活跃,最近其进度慢了下来。据统计,受影响的网站大概有9,731个。这个网站为恶意软件进行分布式控制的中间件,在过去的三个月里,122.155.168.0作为中间件影响了9,731个网站,其中包括kitchenandplumbing.com,salleurl.edu,radiorumba.fm。

专家建议,用户必须尽快升级以避免新的攻击,尽管升级并不能清理网站后门,但对于控制该漏洞的危害还是有帮助的。升级之后需要对网站进行一个全面的安全清理和木马后门检测。仅仅重装你的WordPress并不能解决问题,这次的攻击与恶意软件soaksoak一样,会大面积地对网站注入了后门。因此即使重装WordPress,黑客依然可以轻松越过防护重新取得网站的权限。

RevSlider是一款WordPress幻灯片插件,攻击者可能利用了该插件的任意文件下载漏洞获取了大量的WordPress的wp-config.php配置文件,并通过任意文件上传漏洞上传webshell对WordPress的源码文件进行修改,插入了恶意代码。

恶意软件SoakSoak其主要攻击手段是以RevSlider插件漏洞为切入点,通过上传一个后门,然后对所有使用该服务器的网站进行感染。这就意味着即使该网站不使用RevSlider也会被感染,因此其具有强大的传播能力。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2014-12-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
消息队列 TDMQ
消息队列 TDMQ (Tencent Distributed Message Queue)是腾讯基于 Apache Pulsar 自研的一个云原生消息中间件系列,其中包含兼容Pulsar、RabbitMQ、RocketMQ 等协议的消息队列子产品,得益于其底层计算与存储分离的架构,TDMQ 具备良好的弹性伸缩以及故障恢复能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档