江蘇
關鍵詞
后門
“快速頁面 / 文章重定向”(Quick Page/Post Redirect)插件安裝量超 7 萬,5 年前被植入后門,可向用戶網站注入任意代碼。
該惡意軟件由 WordPress 托管服務提供商 Anchor 的創始人奧斯汀?金德(Austin Ginder)發現。他旗下有 12 個受感染站點觸發安全警報后,他展開調查并發現了這一情況。
“快速頁面 / 文章重定向” 插件已在WordPress.org上提供多年,是一款用于在文章、頁面和自定義 URL 中創建重定向的基礎實用插件。
目前,WordPress.org已暫時將該插件從插件目錄下架,等待審查。尚不清楚是插件作者主動植入后門,還是其賬號被第三方入侵導致。
金德解釋稱,2020 年至 2021 年間發布的 5.2.1 和 5.2.2 官方版本插件,包含一個隱藏的自我更新機制,該機制指向第三方域名 anadnet [.] com,這使得在WordPress.org控制范圍之外推送任意代碼成為可能。
2021 年 2 月,在代碼審查人員有機會仔細檢查之前,該惡意自我更新程序已從WordPress.org上該插件的后續版本中移除。
據金德稱,2021 年 3 月,運行 “快速頁面 / 文章重定向”5.2.1 和 5.2.2 版本的站點,會悄然從外部服務器接收經過篡改的 5.2.3 版本,這個版本引入了一個被動后門。
不過,來自 “w.anadnet [.] com” 服務器且帶有額外后門代碼的版本,與WordPress.org上同一版本插件的哈希值不同。
該被動后門僅在用戶登出時觸發,以對管理員隱藏其活動。它與 “the_content” 掛鉤,并從 “anadnet” 服務器獲取數據,很可能被用于 SEO 垃圾郵件操作。
金德解釋說:“實際的機制是寄生式 SEO 偽裝。2021 年,該插件利用 7 萬個網站為運營這個秘密渠道的人換取谷歌排名。”
然而,受影響網站真正的危險來自更新機制本身,它可按需實現任意代碼執行。雖然使用該插件的網站上該機制依然存在,但處于休眠狀態,因為惡意的外部命令與控制子域名已無法解析,不過主域名仍處于活躍狀態。
受影響用戶的解決辦法是卸載該插件,待WordPress.org再次提供 5.2.4 的干凈版本時重新安裝。
金德給后門背后的相關人員留話,敦促他們現在做正確的事,發布一個靜態更新清單,強制所有受影響的安裝自動升級到WordPress.org的干凈版本,從而有效清除之前受感染網站上的后門。
研究人員警告稱,“快速頁面 / 文章重定向” 插件仍有 7 萬安裝量,且更新檢查指向 “anadnet” 服務器。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
