主页 > 网络知识 > 针对WordPress的攻击调查

针对WordPress的攻击调查

WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。

针对CMS平台的攻击时有发生,本文分析了针对WordPress的不同类型的攻击,以及管理访问、API、Shell部署和seo等攻击特点。

通过黑客管理访问攻击WordPress站点

此方法可获得WordPress网站的管理员访问权限。攻击者可以利用漏洞或泄露的凭据进行攻击,向目标网站上的/wp-log in.php发送POST请求来完成。

 

针对WordPress的攻击调查

 

成功登录后,攻击者可具有管理员权限,并进行如下操作:

安装带有后门的自定义主题

安装插件以上传文件

这两个操作通常在成功获得管理员权限后使用,可以选择更改管理员密码或创建新的管理员帐户。常见的方法是使用公共主题并嵌入带有远程代码执行(RCE)功能的自定义后门,文件上传插件允许攻击者直接上传有效负载。

利用一个后门部署另一个具有类似功能的后门是常见操作。当有效负载/命令/代码编码在COOKIES或POST数据中时,通过使用GET或POST请求来完成部署。解码程序会部署在先前的后门中。还观察到攻击者会patch已经存在的.php文件使恶意请求更加隐蔽。首先,记录所有可写路径,随机选择合适的路径,然后patch所选文件。

 

针对WordPress的攻击调查

在本例中,将修补程序功能应用于index.php,以在Unix隐藏文件(点文件)中包含恶意脚本,扩展名为.ico。

 

 

针对WordPress的攻击调查

另一个值得注意的特性是能够感染邻居域(前提是web服务器正在处理多个域,并且当前用户对其目录具有写访问权限)。

 

 

针对WordPress的攻击调查

 

在受感染的WordPress站点中部署Alfa Shell

攻击者会将Web shell部署在受感染的WordPress网站上。

 

针对WordPress的攻击调查

针对WordPress的攻击调查

web shell为RCE提供了一个用户友好的界面(例如,注册CGI处理程序,允许执行Perl、Python和Bash脚本)。alfashell还能够从WordPress配置文件中获取数据库凭据,转储数据库,以及获取所有虚拟域和DNS设置。

针对WordPress的攻击调查

web shell还支持多种平台,它能够从开发人员网站下载并执行反向shell。

 

 

针对WordPress的攻击调查

受感染的WordPress还可以充当广告重定向程序,通过修改JavaScript文件或页眉/页脚生成器函数(例如wp content heme s wenty17 unctions.php)。修改后的JavaScript将用户重定向到攻击者指定的网站。

 

 

针对WordPress的攻击调查

 

感染WordPress网站的搜索引擎优化(SEO)

受感染的WordPress站点的另一个实例是搜索引擎优化(SEO),已发现部署的PHP脚本在GET请求中接受关键字。

 

针对WordPress的攻击调查

脚本首先检查用户代理是否与正则表达式之一匹配,或者SERVER[“REMOTE_ADDR”](发出HTTP请求的IP地址)的反向DNS查找是否包含Google子字符串。如果符合,则将$isbot变量设置为1。

针对WordPress的攻击调查

如果$isbot不为零,则将使用相同的关键字向程序中硬编码的URL地址发出另一个HTTP请求。如果$isbot未设置,而HTTP_REFERER包含Google、Bing或Yahoo等字符串,则会将其重定向到另一个服务网站。

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!

您可能还会对这些文章感兴趣!