-
-
恶意软件Soaksoak卷土重来?小心你的wordpress网站
-
发表于: 2015-1-14 08:29
-
新闻链接:http://www.freebuf.com/news/54883.html
新闻时间:2014-12-24 FreeBuf.COM
新闻正文:恶意软件Soaksoak卷土重来?小心你的wordpress网站
前不久,Soaksoak曾因感染了十万多个wordpress网站而名声大噪,从上周日的情况来看,Soaksoak大有卷土重来之势。
Freebuf科普:
Soaksoak恶意软件,来源于SoakSoak.ru,其主要攻击手段是通过RevSlider的漏洞作为切入点,上传一个后门,然后对所有使用相同服务器的网站进行感染。这就意味着即使该网站不使用RevSlider也会被感染,被感染的visitor-facing部分主要包含两个文件:
wp-includes/js/swfobject.js
wp-includes/template-loader.php
对被感染的网站进行更为详尽的检测后发现,该恶意软件出现了变种,除了上面两种文件,还有一个名为wp-includes/js/swfobjct.swf的文件(不包含后门和RevSlider的漏洞)也同样会导致感染。
卷土重来
就目前来看,被感染的网站主要是因为没有对RevSlider插件进行更新;服务器日志显示,该软件试图定位并感染更多使用旧版本RevSlider的网站。
这次攻击,攻击者改变了注入恶意代码的Javascript文件,现在变为wp-includes/js/json2.min.js.。而且wp-includes/template-loader.php中相应的代码也发生了改变。
wp-includes/js/json2.min.js中的恶意代码仍然是加载wp-includes/js/swfobjct.swf,但是这个代码现在变得更为复杂了。以下为代码的解析版:
swfobjct.swf中URL隐藏的框架取决于来自hxxp://ads .akeemdom . com/db26的脚本以及加载有恶意软件的json2.min.js。
[参考来源SucuriBlog,译/Change,来自Freebuf(FreeBuf.COM)]
新闻时间:2014-12-24 FreeBuf.COM
新闻正文:恶意软件Soaksoak卷土重来?小心你的wordpress网站
前不久,Soaksoak曾因感染了十万多个wordpress网站而名声大噪,从上周日的情况来看,Soaksoak大有卷土重来之势。
Freebuf科普:
Soaksoak恶意软件,来源于SoakSoak.ru,其主要攻击手段是通过RevSlider的漏洞作为切入点,上传一个后门,然后对所有使用相同服务器的网站进行感染。这就意味着即使该网站不使用RevSlider也会被感染,被感染的visitor-facing部分主要包含两个文件:
wp-includes/js/swfobject.js
wp-includes/template-loader.php
对被感染的网站进行更为详尽的检测后发现,该恶意软件出现了变种,除了上面两种文件,还有一个名为wp-includes/js/swfobjct.swf的文件(不包含后门和RevSlider的漏洞)也同样会导致感染。
卷土重来
就目前来看,被感染的网站主要是因为没有对RevSlider插件进行更新;服务器日志显示,该软件试图定位并感染更多使用旧版本RevSlider的网站。
这次攻击,攻击者改变了注入恶意代码的Javascript文件,现在变为wp-includes/js/json2.min.js.。而且wp-includes/template-loader.php中相应的代码也发生了改变。
wp-includes/js/json2.min.js中的恶意代码仍然是加载wp-includes/js/swfobjct.swf,但是这个代码现在变得更为复杂了。以下为代码的解析版:
swfobjct.swf中URL隐藏的框架取决于来自hxxp://ads .akeemdom . com/db26的脚本以及加载有恶意软件的json2.min.js。
[参考来源SucuriBlog,译/Change,来自Freebuf(FreeBuf.COM)]
|
|
|---|---|
