分析假冒及含惡意的WordPress插件 – 重定向

今時今日最熱門的CMS就會是WordPress,它的熱門程度不會在這篇文章詳細討論,今次我們想講的會是WordPress最常見的漏洞「插件」,沒錯就是插件,為了使網頁開發更加有效開發者會使用各種不同的插件去協助開發。

市場上有超過50,000個插件,有免費提供亦有開發商提供的付款版本,亦有一些含有惡意的「盜版」許多盜版會偽裝成免費的商業版插件或主題,盜版含有大量有害的後門,在這篇文章將會介紹比較長見的重定向惡意行為及如何保護您的網站。

惡意注入重定向代碼的例子

最近我們有位新客戶反映,他的網站於舊服務器被駭,現在進去一直會被跳轉至其他網站,當客戶搬遷過來之後,我們發現他的每一個檔案被注入了chr(xx),這是一種比較常見的透過ascii重定向的做法。
ascii詳細對照表 https://www.man7.org/linux/man-pages/man7/ascii.7.html

我們的客戶所遇到的攻擊不止是針對網站進行重定向,亦會感染資料庫將Site_url及Home_url更改為其他網站,亦會自動感染所有核心文件及建立更多後門。

經我們EBuildHost的安全團隊修復並檢查,發現原來是客戶使用了一個盜版的flatsome主題,該盜版主題含有大量的後門,當您透過該主題下載它建議的插件並啟動後就會自動感染您所有於public_html及數據庫。

這是我們Imunify360曾經隔離的檔案

如何保護您的服務器免受惡意插件的侵害

避免這種類型的惡意攻擊請用戶始終遵循以下步驟。

  • 只從可信的來源/開發商的網站上購買插件,而不是從隨機的網站。
  • 要注意免費的插件。惡意的/假的插件往往偽裝成免費版本的高級插件。安裝前要檢查。
  • 定期更新已安裝的插件。確保運行的插件是更新/最新的版本。檢查所安裝的插件是否涵蓋最新的安全更新。
  • 刪除禁用或不需要的插件,最好是刪除不再需要的插件,而不是禁用它們。因為即使禁用的插件也會留下它們的漏洞。
  • 更改密碼。經常更改wordpress管理員和cPanel的密碼。
  • 禁用文件編輯。為了避免獲得管理賬戶的訪問權,禁止編輯管理用戶編輯插件和主題的PHP文件。
  • 在採取上述步驟的同​​時,我們建議使用採用Imunify360的主機商。
    • 它可以清除惡意軟件,並防止暴力登錄攻擊。
    • 它可以幫助用戶進行惡意軟件檢測和清理功能,同時確保零日威脅和其他各種實時威脅的安全。
    • 通過我們的主動防禦,惡意軟件很容易被識別。它分析了PHP腳本的行為,防止它對服務器造成任何傷害。
    • 它檢測隱藏的惡意代碼,這些代碼可能被混淆,被注入到合法文件的中間。它可以發現攻擊模式並進行相應的處理。
    • Imunify360可以在大多數網絡應用程序攻擊開始之前就阻止它們。
    • 一套定義好的規則有助於識別和阻止惡意攻擊。
    • 此外,它很容易識別有關域名是否被列入黑名單或在任何其他AVs中被映射為惡意的。
    • 使你的網站不受黑客攻擊和黑名單的影響。

因此,我們建議網站開發者使用含有Imunify360的主機商,而EBuildHost就是其中的一家提供Imunify360及CageFS的主機商,每天自動掃瞄每位客戶的所有檔案,如有發現將會自動處理相關檔案並通知客戶。

分享此文章到