免費主題暗藏后門,波及WordPress等知名CMS系統
責編:admin |2014-11-25 16:25:46最近美國安全研究者爆料,針對CMS(內容管理系統)網站的數千種插件和主題被植入了名為CryptoPHP的后門,這可能導致大量的Web服務器被攻擊者據為己有。
隱藏在CMS免費插件之中
這種新發現的后門插件名為“CryptoPHP”,這種后門通常會隱藏在WordPress、Joomla和Drupal的插件或主題中。
為了讓網站管理員中招,邪惡的攻擊者使用了社會工程學的招數。一旦網站管理員下載并使用了包含了后門的盜版的CMS插件,后門便會在服務器上安家。
荷蘭Fox-IT公司在揭密“CryptoPHP”的白皮書中提到:“演員一樣的后門安插在盜版的主題和插件中,并免費提供給網站管理員安裝到服務器中。”
白皮書鏈接請戳:foxitsecurity 。
一旦后門被安插在服務器后,攻擊者可以通過多種方式控制服務器,包括C&C(command and control server)、郵件和人工控制。
后門功能特性
CryptoPHP后門的其他特性包括:
整合并支持多種內容管理系統包括WordPress、Drupal和Joomla
與指控服務器(C&C)的通訊使用公鑰加密
準備了大量的指控服務器域名和IP
通過郵件防止指控服務器域名下線的備份機制
手動控制后門
遠程更新指控服務器列表
后門自動更新
同時,攻擊者還利用置入了CryptoPHP后門的網站和服務器進行黑帽SEO。
截止11月12日,安全研究人員在上千種插件和主題中發現了超過16種CryptoPHP后門及其變種,而第一次發現此后門是在2013年9月。目前受到影響的網站數量難以準確統計,但至少已有上千個網站已經受到了此后門的威脅。