您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

时间:2020-01-03 14:24:09  来源:  作者:
揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

前言

wordPress/ target=_blank class=infotextkey>WordPress是一个知名的开源内容管理系统(CMS),用于创建网站和个人博客。根据预计,目前有35%的网站使用这一知名CMS,如此之大的比例也使其成为了威胁参与者的理想目标。WordPress平台存在的一大弱点就是允许攻击者破坏网站的安全性,而这个弱点会随着网络安全形势的严峻而更加恶化。

平时,我们经常可以看到有攻击者针对CMS平台发起攻击,这已经不再是一个新闻。威胁行为者已经发现,对网站进行攻击可以成为一种攻破组织资产的有效手段。这篇文章首先介绍我们在野外观察到的Payload示例,列举出针对WordPress的不同类型的攻击,深入揭秘攻击者是如何利用非法获取的管理员访问权限、API、Alfa-Shell部署和seo投毒来实现攻击。

利用非法获取的管理员访问权限攻击WordPress站点

这种方法需要使用管理员的帐户和密码访问使用WordPress架构的站点。攻击者可能会利用漏洞,或使用泄露的密码及弱密码实现登录,这一过程可以通过向目标站点的/wp-login.php发送POST请求来实现。

使用弱密码登录的攻击示例:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

攻击者进行暴力破解时所使用的密码:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

成功登录后,具有管理员访问权限的攻击者就能操作多个选项,攻击者通常会进行如下操作:

1、安装带有后门的自定义主题;

2、安装插件以上传文件。

在成功获得管理员特权后,通常会进行这两种操作,此外攻击者还可以选择更改管理员密码,或创建新的管理员帐户。最常用的方法是使用公共的主题,利用远程代码执行(RCE)漏洞来嵌入自定义的后门。除此之外,还有一些文件上传的插件,攻击者可以借助这些插件直接上传Payload。

应该注意的是,我们经常见到一个后门会部署具有相似功能的另一个后门。当Payload/命令/代码被编码在Cookies或POST数据中时,使用GET或POST请求就可以完成部署。解码的逻辑位于此前部署的后门内部。在部署后,攻击者将收到新上传组件的URL。

我们观察到的另外一个值得注意的功能是能修改已经存在的.php文件,从而使恶意请求更加隐蔽。首先,记录所有可写的路径,选择一个合适的随机路径,然后修改所选的文件。

在已经使用的Payload中,修改现有.php文件的功能:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

在实际案例中,修改后的程序功能已经应用于index.php之中,以在Unix隐藏文件(点文件)中包含使用.ico作为扩展名的恶意脚本,并伪装成图标。

使用隐藏的.ico文件修改WordPress index.php的示例:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

另一个值得关注的功能是,可以影响其他相邻的域名。要实现这一点,需要Web服务器具有多个域名,并且需保证当前用户对该目录具有写访问权限。

尝试将Payload上传到相邻域名:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

在被攻击的WordPress站点中部署Alfa-Shell

众所周知,攻击者可能会将WebShell部署到其攻击的WordPress网站上。在这里,我们将重点介绍ALFA TEAM/solevisible使用的高级工具之一——Alfa-Shell。

Alfa-Shell:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

Solevisible的GitHub帐户:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

这个WebShell为远程代码执行提供了一个用户友好的界面。例如:注册CGI Handler以允许执行Perl、Python或Bash脚本。Alfa-Shell还可以从WordPress配置文件中获取数据库凭据,从而进行数据库转储,并列举出所有虚拟域名和DNS设置。

用于执行各种类型脚本的CGI Handler:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

部署的Bash脚本示例:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

该WebShell还支持多种平台,包括windows。实际上,它能够从开发人员网站下载反向Shell并执行。

Alfa Team制作的简单Windows反向Shell二进制文件:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

被攻击者的WordPress也可以作为重定向到广告页面的网站,可以通过修改主题的JAVAScript文件或页眉/页脚生成器功能(例如:wp-contentthemestwentyseventeenfunctions.php)来实现。经过修改后的JavaScript可以将用户重定向到攻击者指定的网站。

经过混淆后的JavaScript重定向:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

重定向后指向的网页:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

在被攻击的WordPress网站中实现搜索引擎优化(SEO)投毒

攻击者利用被攻击的WordPress网站做的另一类行为是搜索引擎优化(SEO)。我们发现,已经部署的PHP脚本会在GET请求中接收关键字。

WordPress“搜索引擎”:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

脚本首先检查User-Agent是否与以下正则表达式中的其中一条相匹配,并检查$_SERVER[“REMOTE_ADDR”](发出HTTP请求的参与者的IP地址)的反向DNS查询是否包含google子字符串。如果发现,则将$isbot变量设置为1。

部署脚本的片段:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

如果$isbot不为0,则使用相同的关键字,对硬编码的URL地址发出另一个HTTP请求。

部署脚本的片段:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

如果返回的文本长度小于1000个字符,则使用必应(Bing)搜索引擎执行其它查询,并将与特定正则表达式匹配的结果附加到$text后面。

攻击者使用的文本:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

如果再次执行相同的查询,就会返回最终的html页面,并将其保存在服务器上。

最终页面:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

如果未设置$isbot,并且HTTP_REFERER包含类似于Google、Bing或Yahoo的字符串,则将其重定向到另外一个网站。

部署脚本的片段:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

发表虚假或误导性文章

遭到入侵的WordPress网站也可能会被用于发布虚假或误导性文章,其中的内容往往很少,或者没有真实的细节。取而代之的是,攻击者往往会使用引人注目的标题,并编造吸引人注意的故事。

在遭到入侵的站点上发布的故事示例:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

从以上示例可以看出,被攻击的站点发布了带有明显语法错误或煽情报导的故事。通常,这些文章的内容难以被理解。攻击过程是通过WordPress的XML-RPC应用程序编程接口(API)来实现的,该接口可以传输数据并执行多项任务,例如上传新文件、编辑和发布帖子。

POST /xmlrpc.php和metaWeblog.newPost(左侧)以及帖文内容(右侧)示例:

揭秘攻击者针对WordPress站点使用的攻击技术及防护建议

 

攻击者可以使用POST /xmlrpc.php和metaWeblog.newPost,这允许将博客内容直接(甚至远程)发布到WordPress网站。

针对WordPress站点的安全建议

上面提到的示例,只是目前已知攻击者会使用的一些技术。实际上,如果没有保证良好的安全性,易受攻击的WordPress站点很容易遭到攻击者的滥用。为了降低被攻击的风险,我们建议用户使用双因素认证(2FA)插件来防止凭据滥用,同时建议扫描未修复的漏洞。用户和网站管理员可以采用以下防护措施:

1、部署基本的安全防御措施,以减少网站的攻击面;

2、禁用或删除过时的或易受攻击的插件;

3、使用虚拟补丁程序来修复补丁不可用的漏洞,特别是针对需保障业务连续性的系统更要关注这一点;

4、应用权限最小化原则;

5、定期将CMS更新到最新版本,包括CMS中使用的插件。



Tags:WordPress   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  Tags: WordPress  点击:(9)  评论:(0)  加入收藏
说起 WordPress 优化加速来可以说是个经久不衰的话题了,包括明月自己都撰写发表了不少相关的文章。基本上到现在为止明月的 WordPress 优化方案已经固定成型了,那就是 WP Supe...【详细内容】
2021-11-02  Tags: WordPress  点击:(49)  评论:(0)  加入收藏
很多人在做了网站的搬家和网站的从新更换空间域名搬家之后,往往出现网站打不开的情况,这个问题其实并不难,但是很多新手站长因为不知道,导致在处理这类问题上花费了大量的时间。...【详细内容】
2021-08-17  Tags: WordPress  点击:(147)  评论:(0)  加入收藏
当访问者访问您的网站时,您只有几秒钟的时间来显示这个人正在寻找的信息,否则,他们只需点击浏览器的后退按钮,开始浏览器别的同类型的网站了。缓慢的WordPress网站会给您的访问...【详细内容】
2020-08-20  Tags: WordPress  点击:(112)  评论:(0)  加入收藏
WordPress 5.5如期而至,更新优化的主要三个领域:速度,搜索和安全。主要内容速度方面主要体现图片的加载优化上面,新版本采用了懒加载模式,在滚动到对应的位置,才会加载真实的图片...【详细内容】
2020-08-17  Tags: WordPress  点击:(97)  评论:(0)  加入收藏
【ALENG 自媒体】8月11日早间自媒体专稿,话说从2008年涉足独立博客至今,掐指一算,走独立博客这一行已经10多年了。10多年间,我的独立博客网站先后使用过早期的Z-blog博客系统,后...【详细内容】
2020-08-12  Tags: WordPress  点击:(114)  评论:(0)  加入收藏
安装好nginx、php、mysql之后,需要经过配置,才能使用起LNMP的环境。...【详细内容】
2020-08-06  Tags: WordPress  点击:(101)  评论:(0)  加入收藏
一台云服务器能做什么?上次介绍了薅腾讯云和阿里云两家厂商羊毛的方法和过程,那到手的云主机要干什么用呢?或者说,云主机有什么用?过了这么多年,"上云"这个说法好像并没有过时。简...【详细内容】
2020-08-04  Tags: WordPress  点击:(106)  评论:(0)  加入收藏
一般的大型网站系统,都依赖伪静态。如果服务器的伪静态没有配置好,访问部分链接就会出现 404 的情况。在 WordPress 则具体表现为后台“固定链接”选项设置失效。 下面就提供...【详细内容】
2020-07-04  Tags: WordPress  点击:(134)  评论:(0)  加入收藏
在本地的 Mac 电脑上配置开发环境安装 homeBrew安装 PHP 7 和 Composer安装 Valet配置 Valet安装 MySQL安装 WordPress在 Windows 电脑上配置开发环境安装 PHPstudy安装 Wor...【详细内容】
2020-06-20  Tags: WordPress  点击:(138)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条