江蘇
關(guān)鍵詞
后門
“快速頁(yè)面 / 文章重定向”(Quick Page/Post Redirect)插件安裝量超 7 萬(wàn),5 年前被植入后門,可向用戶網(wǎng)站注入任意代碼。
該惡意軟件由 WordPress 托管服務(wù)提供商 Anchor 的創(chuàng)始人奧斯汀?金德(Austin Ginder)發(fā)現(xiàn)。他旗下有 12 個(gè)受感染站點(diǎn)觸發(fā)安全警報(bào)后,他展開調(diào)查并發(fā)現(xiàn)了這一情況。
“快速頁(yè)面 / 文章重定向” 插件已在WordPress.org上提供多年,是一款用于在文章、頁(yè)面和自定義 URL 中創(chuàng)建重定向的基礎(chǔ)實(shí)用插件。
目前,WordPress.org已暫時(shí)將該插件從插件目錄下架,等待審查。尚不清楚是插件作者主動(dòng)植入后門,還是其賬號(hào)被第三方入侵導(dǎo)致。
金德解釋稱,2020 年至 2021 年間發(fā)布的 5.2.1 和 5.2.2 官方版本插件,包含一個(gè)隱藏的自我更新機(jī)制,該機(jī)制指向第三方域名 anadnet [.] com,這使得在WordPress.org控制范圍之外推送任意代碼成為可能。
2021 年 2 月,在代碼審查人員有機(jī)會(huì)仔細(xì)檢查之前,該惡意自我更新程序已從WordPress.org上該插件的后續(xù)版本中移除。
據(jù)金德稱,2021 年 3 月,運(yùn)行 “快速頁(yè)面 / 文章重定向”5.2.1 和 5.2.2 版本的站點(diǎn),會(huì)悄然從外部服務(wù)器接收經(jīng)過篡改的 5.2.3 版本,這個(gè)版本引入了一個(gè)被動(dòng)后門。
不過,來自 “w.anadnet [.] com” 服務(wù)器且?guī)в蓄~外后門代碼的版本,與WordPress.org上同一版本插件的哈希值不同。
該被動(dòng)后門僅在用戶登出時(shí)觸發(fā),以對(duì)管理員隱藏其活動(dòng)。它與 “the_content” 掛鉤,并從 “anadnet” 服務(wù)器獲取數(shù)據(jù),很可能被用于 SEO 垃圾郵件操作。
金德解釋說:“實(shí)際的機(jī)制是寄生式 SEO 偽裝。2021 年,該插件利用 7 萬(wàn)個(gè)網(wǎng)站為運(yùn)營(yíng)這個(gè)秘密渠道的人換取谷歌排名。”
然而,受影響網(wǎng)站真正的危險(xiǎn)來自更新機(jī)制本身,它可按需實(shí)現(xiàn)任意代碼執(zhí)行。雖然使用該插件的網(wǎng)站上該機(jī)制依然存在,但處于休眠狀態(tài),因?yàn)閻阂獾耐獠棵钆c控制子域名已無法解析,不過主域名仍處于活躍狀態(tài)。
受影響用戶的解決辦法是卸載該插件,待WordPress.org再次提供 5.2.4 的干凈版本時(shí)重新安裝。
金德給后門背后的相關(guān)人員留話,敦促他們現(xiàn)在做正確的事,發(fā)布一個(gè)靜態(tài)更新清單,強(qiáng)制所有受影響的安裝自動(dòng)升級(jí)到WordPress.org的干凈版本,從而有效清除之前受感染網(wǎng)站上的后門。
研究人員警告稱,“快速頁(yè)面 / 文章重定向” 插件仍有 7 萬(wàn)安裝量,且更新檢查指向 “anadnet” 服務(wù)器。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
