IT之家 5 月 1 日消息,科技媒体 bleepingcomputer 昨日(4 月 30 日)发布博文,报道了一种针对 WordPress 网站的新型恶意软件,伪装成安全工具插件,诱导用户下载并安装。
Wordfence 研究团队警告称,该恶意软件能赋予攻击者持续的访问权限,允许他们执行远程代码并注入 Javascript 脚本。更狡猾的是,它隐藏在插件仪表盘之外,让用户难以察觉其存在。
该恶意软件一旦激活,立即通过“emergency_login_all_admins”功能为攻击者提供管理员权限。攻击者只需输入明文密码,即可获取数据库中首个管理员账户的控制权,登录网站后台。
Wordfence 团队在 2025 年 1 月末的一次网站清理中首次发现该恶意软件。他们注意到“wp-cron.php”文件被篡改,用于创建并激活名为“WP-antymalwary-bot.php”的恶意插件。
IT之家援引博文介绍,此外该恶意软件还会创建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等恶意插件。
即使管理员删除这些插件,“wp-cron.php”会在下一次网站访问时自动重新生成并激活它们。由于缺乏服务器日志,研究人员推测感染可能源于被盗的主机账户或 FTP 凭据。
该恶意插件不仅窃取管理员权限,还通过自定义 REST API 路由插入任意 PHP 代码到网站的“header.php”文件中,清除插件缓存,并执行其他命令。
最新版本甚至能将 base64 编码的 Javascript 注入到网站的“”部分,可能用于向访客推送广告、垃圾信息或将其重定向到不安全网站。
0 条