一个黑客组织利用十多个WordPress插件中的漏洞,试图在互联网上的WordPress网站上创建流氓管理员帐户。
这些攻击是上个月开始的黑客攻击活动的升级部分。在之前的攻击中,黑客利用相同插件中的漏洞在被黑网站上植入恶意代码。此代码旨在显示弹出广告或将访问者重定向到其他网站。
然而,两周前,这些袭击背后的团体改变了策略。网络安全公司Defiant的威胁分析师Mikey Veenstra 告诉ZDNet,从8月20日开始,黑客组织修改了被黑网站上的恶意代码。
恶意代码不仅仅插入弹出窗口和重定向,还运行了一个功能,以测试网站访问者是否有能力在网站上创建用户帐户,这一功能仅适用于WordPress管理员帐户。
基本上,此恶意代码等待网站所有者访问自己的网站。当他们登录时,恶意代码创建了一个新的管理员帐户名为wpservices,使用的电子邮件地址:wpservices@yandex.com和密码w0rdpr3ss。
通过创建这些帐户,该活动背后的黑客组织改变了从利用网站获取货币利润的策略,也为未来使用添加了后门,以及更加持久的立足点。
根据Veenstra的说法,这些最近的攻击针对以下插件中的旧漏洞。
Bold Page Builder
Blog Designer
Live Chat with Facebook Messenger
Yuzo Related Posts
Visual CSS Style Editor
WP Live Chat Support
Form Lightbox
Hybrid Composer
All former NicDark plugins (nd-booking, nd-travel, nd-learning, et. al.)
这些插件已经升级,用户可以确定需要更新的版本,以防止攻击。
更新以下插件后,还建议网站所有者检查在其网站上注册的管理员用户名。删除这些帐户是必不可少的,因为它们的唯一目的是在用户更新易受攻击的插件后创建一种返回网站的方法。
清理受感染的WordPress网站可能非常复杂,因为网站所有者还必须使用WordPress安全插件扫描他们的网站,以寻找黑客可能留下的各种其他后门机制。