当前位置:首页 > php > 黑客利用多个WordPress中的零日漏洞对网站发起攻击

黑客利用多个WordPress中的零日漏洞对网站发起攻击

转载自:zdnet 2020-03-04 php 659
分享给朋友:

由于安装数量众多,WordPress是一个巨大的攻击面。与去年相比在过去的几个月中,尝试攻击WordPress的黑客一直处于较低水平。造成这种停机的原因可能是冬季假期,正如我们在前几年所看到的那样,这通常会导致恶意软件和黑客活动在全球范围内放缓,因为黑客也会休息一下。

7d12ad524810ae7def236640e4db59b6.jpg

在过去的两周中,我们发现针对WordPress网站的攻击有所复苏,这标志着12月和1月相对平静的时期已经结束。

Wordfence,WebARX和NinTechNet等几家专门研究WordPress安全产品的网络安全公司报告说,对WordPress网站的攻击越来越多。

上个月发现的所有新攻击都集中在利用WordPress插件中的错误,而不是利用WordPress本身。

许多攻击都针对最近修补的插件漏洞,黑客希望在站点管理员安装补丁之前劫持网站。

一些攻击利用了 0 day 漏洞,攻击过程也更加复杂。

以下是2月份发生的一些WordPress攻击活动的摘要,这些活动针对WordPress插件漏洞。

建议网站管理员更新以下列出的所有WordPress插件,因为它们很可能在整个2020年甚至更长时间内都将被利用。

Duplicator

根据Wordfence的一份报告,自2月中旬以来,黑客利用了Duplicator中的一个漏洞,该插件允许站点管理员导出其站点的内容。

该漏洞在1.3.28中修复,攻击者可以从中导出站点副本,从中提取数据库凭据,然后劫持WordPress站点的底层MySQL服务器。

更糟糕的是,Duplicator是WordPress门户网站上最流行的插件之一,大约在2月10日,在攻击开始时安装了100多万个。这个插件的商业版本Duplicator Pro,有170000个站点安装,也受到了影响。

Profile Builder Plugin

Profile Builder插件的免费和专业版本中还有另一个主要的bug。该漏洞允许黑客在WordPress网站注册未经授权的管理员帐户。

该漏洞于2月10日修补,但攻击始于2月24日,即POC代码在网上发布的同一天。据报道,至少有两个黑客组织正在利用这个漏洞。

超过65000个站点(50000个使用免费版本,15000个使用商业版本)易受攻击,除非他们将插件更新到最新版本。

ThemeGrill Demo Importer

据信,利用上述插件的同两个黑客组织还将目标锁定在ThemeGrill演示导入程序中的一个bug上,ThemeGrill是一家商业WordPress主题供应商,该插件附带ThemeGrill出售的主题。

这个插件安装在超过200000个站点上,这个bug允许用户删除运行易受攻击版本的站点,如果满足某些条件,接管“admin”帐户。

攻击,已经被Wordfence、WebARX和Twitter上的独立研究人员证实。POC代码也可以在线获得。建议用户尽快更新到v1.6.3。

c7b40bf0293d4973a0a43c37ed2cbbfe.jpg

ThemeREX Addons

还发现针对ThemeREX Addons的攻击,该插件是预装所有ThemeREX商业主题的WordPress插件。

根据Wordfence的报告,攻击始于2月18日,当时黑客在插件中发现了一个零日漏洞,并开始利用该漏洞在易受攻击的网站上创建恶意管理员帐户。

尽管攻击仍在进行中,但始终没有提供修补程序,建议站点管理员尽快从其站点中删除该插件。

Flexible Checkout Fields for WooCommerce

攻击还针对运行WooCommerce插件的“ 灵活结帐字段”插件的网站,该插件安装在20,000多个基于WordPress的电子商务网站上。

黑客使用了一个(现在已修补)的零日漏洞来注入XSS攻击,该攻击可以在已登录管理员的仪表板中触发。XSS有效加载使黑客能够在易受攻击的站点上创建管理员帐户。

Async JavaScript, 10Web Map Builder for Google Maps, Modern Events Calendar Lite

在AsyncJavaScript、10WebMapBuilderforGoogleMaps、ModernEventsCalendarLite插件中也发现了三个类似的 0 day 漏洞。这些插件分别用于100000、20000和40000个站点。

这三个 0 day 漏洞都是像上面描述的那样存储的XSS错误。这三个插件都已经发布了修补补丁,但是攻击在补丁发布之前就开始了,这意味着一些站点很可能受到了攻击。

分享给朋友:

相关文章

webman自定义进程

1、新建文件 process/Rpc.php 编写rpc进程<?php namespace process; use Workerman\Connection\TcpConnection; class Rpc {    &n

在PHP7+下监控Memcached服务、性能、扇区等信息

PHPMemcachedAdmin:一款网页可视化的Memcached工具

Swoole的PHP协程开发框架 imi 集成ThinkPHP模板引擎 think-template

在 imi 框架根目录中执行composer require topthink/think-template安装好模板引擎后,找到路径\vendor\topthink\think-template\src\Template.php找到 fetch() 渲染模板文件的方法,将最后一

PHP7下MongoDB自增或自减一个字段的值

findAndModify属于原子操作模型数据,所谓原子操作就是要么这个文档保存到Mongodb,要么没有保存到Mongodb,不会出现查询到的文档没有保存完整的情况。

PHP的面向对象解析

早期编程由于受电脑硬件限制,程序都是追求效率,而忽略可理解性,扩充性,随着硬件技术的发展,编程越来越重视多人开发,程序员越来越重视程序的可靠性,可扩展性,可维护性,所以刺激了程序语言的发展

ThinkPHP6.0使用EasyTask常驻内存多进程任务管理

PHP常驻内存的多进程任务管理器Composer包。以进程管理为出发点,同时也支持为每个进程设置定时执行功能,您可以用它来完成需要重复运行的任务(如订单超时自动取消,短信邮件异步推送,队列/消费者/频道订阅者等等),甚至处理计划任务。

PHP8新特性盘点

PHP 8.0.0 已经正式发布了,这个对于PHPer无疑是一个令人振奋的消息。它包含了很多新功能与优化项, 包括命名参数、联合类型、注解、构造器属性提升、match表达式、nullsafe运算符、JIT,并改进了类型系统、错误处理、语法一致性。

PHP8新特性系列:构造器属性提升使用及注意事项

本篇主要说下PHP8构造器属性提升的用法,这个特性对于一些需要在构造器中设置或初始化一些类属性的时候非常有用(包括public、protected和private),比如在PHP7中你可以这样定义一个类的属性,然后在构造方法中传值。class Point {  &nb

ThinkPHP6.0在PHP8下报错解决方法

PHP8下全新安装ThinkPHP6.0.X出现报错,如下Deprecated: Method ReflectionParameter::getClass() is deprecated in xxxx\vendor\topthink\fr

MongoDB驱动聚合查询aggregate在分组分页排序后出现的数据混乱问题

最近在获取MongoDB数据时需要把重复的数据分组来排序,语言版本:PHP7