一种新的Linux恶意软件利用过时的WordPress插件

• Dr.Web 的研究人员宣布他们发现了一种利用过时的WordPress插件和主题的木马。
• 该恶意软件从命令和控制服务器获取恶意 JavaScript，并将脚本注入网站。
• Dr. Web 发现了该木马的两个版本，该木马可能在过去三年中一直被黑客使用。

---

防病毒供应商 Dr. Web 发布了一份关于新Linux恶意软件的新报告，该恶意软件利用过时的WordPress插件和主题中的漏洞注入恶意 JavaScript。该恶意软件以 Linux 系统为目标，并为其操作员提供远程命令功能。该恶意软件利用了这些插件和主题中的 30 个漏洞。 

Linux.BackDoor.WordPressExploit.1

Dr. Web 根据其防病毒分类将恶意软件命名为 Linux.BackDoor.WordPressExploit.1。据报道，根据操作员的命令，它可以执行：

• 攻击指定网页（网站）
• 切换到待机模式
• 自行关闭
• 暂停记录其操作

专家还声称，三年多来，网络犯罪分子一直在使用它进行攻击，并通过转售流量或套利获利。首先，木马联系 C&C 服务器以接收要感染的站点地址。然后它试图利用以下可以安装在网站上的过时插件和主题中的漏洞：

• WP 实时聊天支持插件
• WordPress – Yuzo 相关文章
• 黄色铅笔视觉主题定制器插件
• Easysmtp
• WP GDPR 合规性插件
• WordPress 访问控制上的报纸主题 
• 蒂姆核心
• 谷歌代码插入器
• 总捐赠插件
• 发布自定义模板精简版
• WP 快速预订管理器
• Zotabox 的 Faceboor 实时聊天
• 博客设计师 WordPress 插件
• WordPress 终极常见问题解答
• WP-Matomo 集成 
• Visual Composer 的 WordPress ND 简码
• 可湿性粉剂在线聊天
• 即将推出页面和维护模式
• 杂交种

一旦它利用了在这些插件和主题中发现的其中一个漏洞，它就会向页面注入恶意 JavaScript，该 JavaScript 从远程服务器下载。加载页面时，此 JavaScript 首先启动，每当用户单击受感染页面上的任何位置时，他们将被转移到攻击者选择的网站。它还收集统计数据并跟踪受攻击网站的总数。

Dr. Web 研究人员还发现了该木马的更新版本，并将其命名为 Linux.BackDoor.WordPressExploit.2。两个版本之间的区别在于 C&C 服务器地址、下载恶意 J​​avaScript 的域地址以及以下插件的附加漏洞列表：

• Brizy WordPress 插件
• FV Flowplayer 视频播放器
• WooCommerce
• WordPress 即将推出页面
• WordPress 主题 OneTone
• 简单字段 WordPress 插件
• WordPress Delucks SEO插件
• OpinionStage 的投票、调查、表格和测验制作工具
• 社交指标追踪器
• WPeMatico RSS 提要获取器
• 丰富的评论插件

韦伯博士说，

« 因此，我们发现这两种木马变体都包含未实现的功能，可通过暴力攻击、应用已知的登录名和密码、使用特殊词汇来破解目标网站的管理员帐户。此功能可能存在于较早的修改中，或者相反，攻击者计划将其用于此恶意软件的未来版本。如果在较新版本的后门中实施此类选项，网络犯罪分子甚至可以成功攻击一些使用当前插件版本并修补漏洞的网站。

Doctor Web 建议基于 WordPress 的网站所有者保持平台的所有组件为最新，包括第三方插件和主题，并为其帐户使用强大且唯一的登录名和密码。»