WordPress废弃插件Eval PHP被作为后门使用

观察到威胁行为者在受感染的WordPress站点上安装废弃的Eval PHP插件以进行后门部署。

Sucuri的研究人员警告说，威胁行为者正在受感染的WordPress网站上安装废弃的Eval PHP插件以进行后门部署。

Eval PHP插件允许将PHP代码插入到WordPress站点的页面和帖子中，然后在每次打开帖子时执行。

恶意代码使用file_put_contents函数将PHP脚本创建到具有指定远程代码执行后门的网站的文档根目录中。当威胁行为者访问受感染的帖子或页面之一时，后门将被注入文件结构。 

专家指出，该插件已十多年未更新，实际活跃安装量非常低。自4月初以来，威胁参与者正在受感染的WordPress网站上安装Eval PHP插件，并使用它将恶意PHP代码注入网页。

在过去的十年中，自2023年3月下旬以来，该插件每天很少有1次下载。3月29日左右，研究人员观察到每日下载量飙升至 7,000。然后，该插件每天的总下载量为3k-5k，而总下载量达到了100,000。

Sucuri解释说，Eval PHP插件继续通过WordPress存储库提供。

下载激增的原因是威胁行为者进行的黑客活动。

Sucuri报告说，所有请求都来自三个IP地址，91[.]193[.]43[.]151、79[.]137[.]206[.]177、212[.]113[.]119[ .]6。

专家解释说，PHP后门可以将请求隐藏为cookie，以避免被发现。

“由于后门使用$_REQUEST[id]来获取可执行的 PHP 代码，它不需要POST请求来隐藏其在访问日志中的参数——它可以将它们作为cookie传递，因为$_REQUEST包含$_GET的内容,$_POST和$_COOKIE。”“没有可见参数的GET请求看起来不像POST请求那么可疑。但对于这个后门，GET可能同样危险。”

在Sucuri观察到的攻击中，威胁行为者成功登录WordPress管理员并使用真实站点管理员创建恶意页面。

在一些受感染的网站上，专家们观察到存在具有随机名称和outlook.com电子邮件的恶意管理员用户。

专家解释说，官方存储库中仍然存在的旧插件和废弃插件会带来安全风险。

“将此类插件保存在官方存储库中可以让黑客更容易躲在雷达之下，因为他们可以从信誉良好的来源安装未经修改的合法插件，而不是安装假插件或修改现有插件，这些插件可以被监控已知完整性的扫描仪检测到插件。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5612.html