在Wordpress中,通常惡意程序隱藏在插件或主題中��。他們形態(tài)各異�,有的發(fā)送垃圾郵件����,有的植入隱形鏈接……不過這類惡意軟件原理很好理解,無非就是惡意插件中有網(wǎng)站管理員所需要的功能�,然后網(wǎng)站管理員在沒有經(jīng)過嚴(yán)謹(jǐn)確認(rèn)便直接安裝。
有趣的黑帽SEO插件
就在本周��,我遇到一款典型的黑帽SEO插件����,它實(shí)現(xiàn)的手法十分有趣。
該惡意插件核心文就在網(wǎng)站root目錄下��。黑客通過利用該文件����,將以下代碼注入到Index.php文件中。
if ( file_exists( 'wp-core.php' ) ){ require_once( 'wp-core.php' ); }
像這樣的Index.php注入看起來十分可疑�����,同時(shí)也告知我們wp-core.php并沒有被安裝���,因?yàn)檫@將破環(huán)Wordpress基本約定��。
接下來���,我們就好好看下wp-core.php文件吧。
分析wp-core.php文件
該文件大概有500多行代碼���,在其注釋行中����,提到該插件是為保護(hù)Wordpress CMS免受Brute-force攻擊而開發(fā)的�,并且說是利用302重定向來進(jìn)行保護(hù),最后還提到必須第一個(gè)進(jìn)行加載��。
在該文件的中間部分我發(fā)現(xiàn)了“bootstrap”的代碼
首先���,他將“Bruteforce protection” 代碼注入到wp-login.php.
在登錄表單中加入onsubmit管理員并設(shè)置 “antibot_ajax” cookies���。接著還添加了一個(gè)用以檢測(cè)是否設(shè)置有cookies的代碼���,如果沒有設(shè)置是不允許登錄的。這樣看起來似乎真的是在做對(duì)抗機(jī)器人的操作保護(hù)了用戶���,毫無惡意�����。
接著���,我們來看看“Auth 2nd level”代碼:
這個(gè)看起來更加可疑,其注入了一段加密了代碼���。我們進(jìn)行了解密�����,驚奇的發(fā)現(xiàn)這段代碼也很正常���。正如插件作者在開頭備注中所說的一樣�,這是進(jìn)行第二次驗(yàn)證�����。如果登錄名和密碼是有效的�����,就會(huì)向WP數(shù)據(jù)庫(kù)檢索用戶郵箱��,將從第三個(gè)字符開始進(jìn)行替換直到@符號(hào)位置�,最后要求驗(yàn)證該郵箱�����。
小編推薦閱讀
