一种新的 Linux 恶意软件正在基于 WordPress 的网站上蔓延,试图利用几个过时的 WordPress 插件和主题中的 30 个已知漏洞。被称为 Linux.BackDoor.WordPressExploit.1 的恶意软件将恶意 JavaScript 注入目标网站。
及时更新的重要性再次凸显。据发现 Linux.BackDoor.WordPressExploit.1 的 Dr.Web 称,木马化的恶意软件试图通过 30 个过时且易受攻击的插件或主题侵入网站,包括 WooCommerce、WP Live Chat Support Plugin、Google Code Inserter 等(已列出)以下)。
一旦远程控制的木马确认网站使用任何易受攻击的插件,它就会充当后门,将从其命令和控制 (C2) 服务器获取的恶意 JavaScript 推送到网站中。
“如果一个或多个漏洞被成功利用,目标页面就会注入从远程服务器下载的恶意 JavaScript。这样,注入就会以这样一种方式完成:当受感染的页面被加载时,这个 JavaScript 将首先启动——不管页面的原始内容是什么,”Web 博士指出。
当用户登陆并点击受感染网站的任意位置时,他们将被重定向到攻击者选择的网站,在那里他们可能会收到恶意广告,提示他们下载恶意软件,或者可能成为网络钓鱼的目标。
Linux.BackDoor.WordPressExploit.1 的开发具有附加功能,包括切换到待机模式、自行关闭以及暂停记录其操作。该恶意软件旨在针对 32 位版本的 Linux,但也可以在 64 位版本上运行。
除了 Linux.BackDoor.WordPressExploit.1,Dr. Web 还偶然发现了同一后门的变体。不同之处在于 Linux.BackDoor.WordPressExploit.2 具有不同的 C2 服务器地址,下载恶意 JavaScript 的不同域地址,并针对 11 个额外的插件。