PHP的93个WordPress插件有后门

因为93 个 WordPress 主题和插件包含后门，从而使得攻击者可以完全控制网站。攻击者总共入侵了 AccessPress 的 40 个主题和 53 个插件，AccessPress 是 WordPress 插件的开发者，用于超过 360,000 个活动网站。

该攻击是由 Jetpack 的研究人员发现的，Jetpack 是 WordPress 网站安全和优化工具的创建者，他们发现 PHP 后门已被添加到主题和插件中。

Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。

一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品，就会在主主题目录中添加一个新的“initial.php”文件，并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载，它将 webshel l 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装，实质上是让攻击者远程控制受感染的站点。

检测这种威胁的唯一方法是使用核心文件完整性监控解决方案，因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。

我受到影响吗？

如果您在您的网站上安装了其中一个受感染的插件或主题，则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l。

因此，建议网站管理员通过执行以下 *** 作来扫描他们的网站是否存在入侵迹象：

Jetpack 提供了以下 YARA 规则，可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l：

原文链接：PHP的93个WordPress插件有后门

可以通过一些关键字或者正则来进行匹配

(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))',

'(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))',

'eval\(base64_decode\(',

'(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(wscript\.shell)',

'(gethostbyname\()',

'(cmd\.exe)',

'(shell\.application)',

'(documents\s+and\s+settings)',

'(system32)',

'(serv-u)',

'(提权)',

'(phpspy)',

'(后门)',

'(webshell)',

'(Program\s+Files)'

---