在Wordpress中�,通常惡意程序隱藏在插件或主題中�。他們形態(tài)各異,有的發(fā)送垃圾郵件�,有的植入隱形鏈接……不過這類惡意軟件原理很好理解,無非就是惡意插件中有網(wǎng)站管理員所需要的功能�����,然后網(wǎng)站管理員在沒有經(jīng)過嚴(yán)謹(jǐn)確認(rèn)便直接安裝。
有趣的黑帽SEO插件
就在本周��,我遇到一款典型的黑帽SEO插件�����,它實現(xiàn)的手法十分有趣�����。
該惡意插件核心文就在網(wǎng)站root目錄下��。黑客通過利用該文件�,將以下代碼注入到Index.php文件中。
if ( file_exists( 'wp-core.php' ) ){ require_once( 'wp-core.php' ); }
像這樣的Index.php注入看起來十分可疑����,同時也告知我們wp-core.php并沒有被安裝,因為這將破環(huán)Wordpress基本約定���。
接下來,我們就好好看下wp-core.php文件吧�����。
分析wp-core.php文件
該文件大概有500多行代碼,在其注釋行中�,提到該插件是為保護(hù)Wordpress CMS免受Brute-force攻擊而開發(fā)的,并且說是利用302重定向來進(jìn)行保護(hù)��,最后還提到必須第一個進(jìn)行加載��。
在該文件的中間部分我發(fā)現(xiàn)了“bootstrap”的代碼
首先�����,他將“Bruteforce protection” 代碼注入到wp-login.php.
在登錄表單中加入onsubmit管理員并設(shè)置 “antibot_ajax” cookies���。接著還添加了一個用以檢測是否設(shè)置有cookies的代碼���,如果沒有設(shè)置是不允許登錄的。這樣看起來似乎真的是在做對抗機器人的操作保護(hù)了用戶��,毫無惡意����。
接著,我們來看看“Auth 2nd level”代碼:
這個看起來更加可疑�����,其注入了一段加密了代碼。我們進(jìn)行了解密����,驚奇的發(fā)現(xiàn)這段代碼也很正常。正如插件作者在開頭備注中所說的一樣���,這是進(jìn)行第二次驗證�����。如果登錄名和密碼是有效的���,就會向WP數(shù)據(jù)庫檢索用戶郵箱,將從第三個字符開始進(jìn)行替換直到@符號位置����,最后要求驗證該郵箱。
小編推薦閱讀
