通过在Revslider插件中利用缺陷来攻击成千上万的WordPress网站

研究人员警告说,网络犯罪分子已经利用了一个流行的WordPress插件来重定向数以千计的网站的访问者来利用套件。

德国电脑应急响应团队(CERT-BUND)和Yonathan Klijnsma的安全专家揭示了至少3,000个网站被攻击者损害了攻击者的攻击者 滑块革命 (Revslider)插件。再一次,一个 WordPress插件 用黑客进入一个网站,这个缺陷于2014年2月由Developmet团队默默地修正,但漏洞的存在于2014年9月在2014年9月开始点亮 刑事人员在全球范围内开发.

网络罪犯利用Revslider插件中的缺陷来劫持运行易受攻击版本的数千个网站。

2014年12月,Sucuri公司的专家报告说,超过100,000个WordPress网站被妥协并用于服务 oaksoak恶意软件.

“我们的分析显示了100个歌曲特定网站的100个秩序的影响。我们无法确认确切的载体,但初步分析表现出与之相关的 Revslider漏洞我们报告了几个月后。“据报道Sucurii。 “影响似乎影响了WordPress托管频谱的大多数主机。可提供对解码过程的快速故障 通过我们的博士学位

返回到现在,Revslider漏洞正在被错误的演员再次被剥削,这已经在易受攻击的网站上注入恶意IFRame,以便将访问者重定向到托管利用套件的域名。

yonathan klijnsma详细介绍了一个攻击链 博客帖子,网络罪犯通过利用本地文件包含(LFI)漏洞来损害网站。 LFI漏洞的开发允许攻击者访问服务器文件系统,然后攻击者创建一个新的管理员帐户,通过在与其他WordPress插件关联的文件中安装后门来完成攻击并完成攻击。

对其中一个受损站点的调查显示攻击者执行以下步骤:

  • RevsLider被滥用,以添加额外的管理员帐户
  • 攻击者上传了一个名为'smart.php'的脚本
  • 在WordPress安装中编辑了3个文件;其他插件中的2个文件被回顾,使用代码执行后门和WordPress'Nav-Menu.php'文件进行了修改

通常,攻击者将受害者重定向到举办流行的网站 嘉年华爆炸套件, 但Klijnsma解释说他们也使用了 钓鱼者开采套件 对于恶意运动。

漏洞利用工具包使用多个恶意软件,包括Popualr Cryptowall 3.0赎金软件金融特洛伊木马, 和 广告欺诈 malware.

“这只是取决于租金的负荷’在这些情况下,“klijnsma解释道。

攻击者通过全部托管在动态DNS提供程序的域中托管利用套件,并将所有人设置为即可实现的短时间。

Cert-Bund收集了珍贵信息来简化黑客广告系列,超过一半的受损网站是.com,其中大多数是在美国举办的。该活动还涉及荷兰,德国,法国,西班牙,英国,意大利,波兰,加拿大和新加坡的网站。

w1

Klijnsma建议向管理员妥协,以删除所有帐户并创建新密码的新密码,因为攻击者已获得攻击时刻攻击所有帐户的网站的管理访问。

“通过将它们与来自官方Wordpress网站的文件进行比较来检查所有PHP文件进行修改(如果您100%确定它们不受影响,则自己的本地副本)。应该用正常的修改文件替换为“klijnsma”。

作为缓解操作,建议将RevsLider插件更新为最新版本。要小心,因为许多主题包括流行的插件,这意味着在没有您的知识的情况下,您的网站可能很脆弱,在这种情况下使用 修补 对于官方WordPress网站提供的RevsLider。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请