在Wordpress中���,通常惡意程序隱藏在插件或主題中�。他們形態(tài)各異�,有的發(fā)送垃圾郵件,有的植入隱形鏈接……不過這類惡意軟件原理很好理解�,無非就是惡意插件中有網(wǎng)站管理員所需要的功能,然后網(wǎng)站管理員在沒有經(jīng)過嚴謹確認便直接安裝�����。
有趣的黑帽SEO插件
就在本周�����,我遇到一款典型的黑帽SEO插件���,它實現(xiàn)的手法十分有趣�。
該惡意插件核心文就在網(wǎng)站root目錄下。黑客通過利用該文件���,將以下代碼注入到Index.php文件中。
if ( file_exists( 'wp-core.php' ) ){ require_once( 'wp-core.php' ); }
像這樣的Index.php注入看起來十分可疑�����,同時也告知我們wp-core.php并沒有被安裝��,因為這將破環(huán)Wordpress基本約定�。
接下來,我們就好好看下wp-core.php文件吧��。
分析wp-core.php文件
該文件大概有500多行代碼�,在其注釋行中,提到該插件是為保護Wordpress CMS免受Brute-force攻擊而開發(fā)的�,并且說是利用302重定向來進行保護,最后還提到必須第一個進行加載�。
在該文件的中間部分我發(fā)現(xiàn)了“bootstrap”的代碼
首先,他將“Bruteforce protection” 代碼注入到wp-login.php.
在登錄表單中加入onsubmit管理員并設置 “antibot_ajax” cookies����。接著還添加了一個用以檢測是否設置有cookies的代碼��,如果沒有設置是不允許登錄的�����。這樣看起來似乎真的是在做對抗機器人的操作保護了用戶����,毫無惡意����。
接著,我們來看看“Auth 2nd level”代碼:
這個看起來更加可疑���,其注入了一段加密了代碼���。我們進行了解密,驚奇的發(fā)現(xiàn)這段代碼也很正常�。正如插件作者在開頭備注中所說的一樣,這是進行第二次驗證��。如果登錄名和密碼是有效的�����,就會向WP數(shù)據(jù)庫檢索用戶郵箱,將從第三個字符開始進行替換直到@符號位置�,最后要求驗證該郵箱。
小編推薦閱讀
