黑客积极使用易受攻击的 WordPress 插件攻击网站
越来越多的黑客使用最近在 WordPress 插件攻击中发现的最新安全漏洞。 网络犯罪分子的目标是那些未能更新其插件并仍在使用旧版本易受攻击版本的网站所有者。
几组黑客都这样做了。 目前,安全专家知道至少有两个团体在攻击未修补版本的 Profile Builder、ThemeGrill Demo Importer 和 Duplicator 插件。
这些是安装在众多网站上的非常流行的插件。 据估计,由于其所有者未能更新这三个插件,因此有数十万个网站面临被利用的风险。
所有上述插件都有一个共同点。 安全研究人员最近分享了有关在这些插件中发现的可能导致网站入侵的关键安全漏洞的报告。
安全专家称为 Tonyredball 的对手之一可以访问具有以下漏洞的 WP 网站:
ThemeGrill 演示导入器 (低于 1.6.3 版)该缺陷允许任何用户像管理员一样登录并擦除整个数据库。
配置文件生成器 (低于 3.1.1 版本)该错误也允许未经身份验证的用户获得管理员权限。
托尼红球组
Defiant 的安全专家指出,Tonyredball 小组利用包含新管理员帐户的电子邮件和用户名的 Web 请求来利用 Profile Builder 插件中的管理员注册错误。
同时,专家认为,该黑客组织还利用 ThemeGrill Demo Importer 插件中发现的数据库删除漏洞进行了许多其他攻击。
ThemeGrill Demo Importer 被大量利用的原因可能是它的易用性。 它只需要攻击者通过 WordPress 插件向易受攻击的站点发送请求。 对于 Profile Builder,攻击者需要付出更多努力,因为他们应该首先找到易受攻击的形式。
利用这两个漏洞的最终结果是获得管理权限和访问受害者网站的能力。 获得访问权限后,在主题和插件上传器的帮助下,黑客将其恶意脚本上传到 WordPress 仪表板。
攻击者利用与 wp-block-plugin.php、blockpluginn.php、supersociall.php 和 wp-block-plugin.php 等文件名相关联的多种类型的脚本。
在最初的利用之后,攻击者会提供额外的有效载荷,旨在感染更多文件并在站点上获得更广泛的存在。 此外,研究人员观察到恶意软件作者开始寻找容易受到相同利用方法攻击的其他 WP 站点。
在许多情况下,攻击者会在合法的 JavaScript 文件中注入恶意代码。 此举的目的是从不同的服务器再加载一个脚本,将访问者重定向到由网络犯罪分子控制的恶意网站。
目前,这种重定向很容易被发现,而且并不复杂,但犯罪分子可能会将他们的脚本修改得更加狡猾。
在一个案例中,访问者被重定向到一个名为 Talktofranky 的网站,该网站要求在浏览器通知弹出时按“允许”,以证明他们是真人而不是机器人。 如果访问者这样做,他们就会允许该站点发送各种通知,包括垃圾邮件。
这可能看起来是一个小威胁,但不容易被黑客入侵的 Mac 设备的所有者经常成为此类伎俩的受害者。 例如,用户发现自己被重定向到 A.akamaihd.net 等流氓网站。
安全研究人员在一个专门针对这种情况的在线论坛上发现了一个讨论,表明有相当多的受害者。
有趣的是,Tonyredball 组的所有攻击都源自单个 IP -45.129.96.17。 它位于爱沙尼亚并分配给名为 GMHost 的本地托管服务提供商。 该提供商以其糟糕的政策而闻名,这些政策吸引了许多网络犯罪分子在那里托管。 该提供者只是不对投诉作出反应。
目前还不清楚有多少 WordPress 网站会因为易受攻击的插件而受到攻击。 研究人员估计,Profile Builder 插件可能安装在大约 37,000 个站点上,而 ThemeGrill Demo Importer 可能安装在大约 40,000 个站点上。
Solarsalvador1234 集团
另一个似乎更复杂的组称为 Solarsalvador1234。 Defiant 的研究人员之所以如此命名,是因为它是导致漏洞利用的 Web 请求中经常使用的电子邮件地址的名称。
该威胁攻击者还针对上述两个插件,但除此之外,Solarsalvador1234 组织的列表中还包含 Duplicator 插件。 这个 WordPress 插件有助于将网站从一个地方克隆和迁移到另一个地方。 它有超过一百万的活跃安装!
据报告,低于 1.3.28 的 Duplicator 版本存在安全漏洞,允许未经身份验证的访问者从目标网站下载不同的文件。
此漏洞通常用于获取受害站点的配置文件 - wp-config.php,该文件存储用户访问数据库的凭据。 主要目标是在受感染的网站上获得扩展和长期进入的可能性。
因此,通过利用这三个安全漏洞,最终攻击者可以获得对受害者网站的完全管理访问权限。 重要的是要提醒这些漏洞已经公开披露和修补。
在黑客攻击的情况下,网站所有者应该责怪自己没有遵循安全最佳实践以及未能及时更新攻击 WordPress 插件。 根据最近的统计数据,安全研究人员认为,大约 80 万个网站仍在运行未打补丁的 Duplicator 版本。
有很多理由相信,上述三个易受攻击的插件并不是唯一被利用的插件。
同样,网站所有者应该记住,一旦发布任何安全更新,他们应该优先安装它,因为越来越多的黑客攻击 WordPress 网站,快速发现和利用所有新旧安全漏洞。
1. 带 [亲测] 说明源码已经被站长亲测过!
2. 下载后的源码请在24小时内删除,仅供学习用途!
3. 分享目的仅供大家学习和交流,请不要用于商业用途!
4. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
5. 本站所有资源来源于站长上传和网络,如有侵权请邮件联系站长!
6. 没带 [亲测] 代表站长时间紧促,站长会保持每天更新 [亲测] 源码 !
7. 盗版ripro用户购买ripro美化无担保,若设置不成功/不生效我们不支持退款!
8. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
9. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
10.如果您购买了某个产品,而我们还没来得及更新,请联系站长或留言催更,谢谢理解 !
GG资源网 » 黑客积极使用易受攻击的 WordPress 插件攻击网站
