Warning: Invalid argument supplied for foreach() in /www/wwwroot/ihuan.me/wp-content/themes/CKoo/header.php on line 10
当前位置:首页 > 未分类 > 正文

亦真亦假:技术剖析WordPress黑帽SEO插件

在Wordpress中,通常恶意程序隐藏在插件或主题中。他们形态各异,有的发送垃圾邮件,有的植入隐形链接……不过这类恶意软件原理很好理解,无非就是恶意插件中有网站管理员所需要的功能,然后网站管理员在没有经过严谨确认便直接安装。

有趣的黑帽SEO插件

就在本周,我遇到一款典型的黑帽SEO插件,它实现的手法十分有趣。

该恶意插件核心文就在网站root目录下。黑客通过利用该文件,将以下代码注入到Index.php文件中。

if ( file_exists( 'wp-core.php' ) ){ require_once( 'wp-core.php' ); }

像这样的Index.php注入看起来十分可疑,同时也告知我们wp-core.php并没有被安装,因为这将破环Wordpress基本约定。

接下来,我们就好好看下wp-core.php文件吧。

‍‍‍分析‍wp-core.php文件‍‍

该文件大概有500多行代码,在其注释行中,提到该插件是为保护Wordpress CMS免受Brute-force攻击而开发的,并且说是利用302重定向来进行保护,最后还提到必须第一个进行加载。

wp-core

在该文件的中间部分我发现了“bootstrap”的代码

首先,他将“Bruteforce protection” 代码注入到wp-login.php.

bruteforce-protection

在登录表单中加入onsubmit管理员并设置 “antibot_ajax” cookies。接着还添加了一个用以检测是否设置有cookies的代码,如果没有设置是不允许登录的。这样看起来似乎真的是在做对抗机器人的操作保护了用户,毫无恶意。

接着,我们来看看“Auth 2nd level”代码:

auth-2nd-level

这个看起来更加可疑,其注入了一段加密了代码。我们进行了解密,惊奇的发现这段代码也很正常。正如插件作者在开头备注中所说的一样,这是进行第二次验证。如果登录名和密码是有效的,就会向WP数据库检索用户邮箱,将从第三个字符开始进行替换直到@符号位置,最后要求验证该邮箱。

email-confirmation

所以,即使机器人支持Javascript以及cookies,并且幸运的通过了第一层反机器人保护,在第二层也是会失败的,因为第二层保护是需要对邮箱进行验证的。这样即使是有人盗取了你的Wordpress密码,如果没有进行邮箱确认也是无法登录的。

用户对电子邮箱地址进行确认过后,会有一个额外的设置步骤,对WP_FLV_EMAIL_CONFIRMED cookie设置为保存1000天,所以他们不需要每次登录都进行邮箱验证。

最后的“bootstrap” 部分,包含了将wp-core.php注入到index.php的代码(你可以在文章的开头看到)。它能够确保 “bruteforce protection” 一直都能够使用,如果wp-login.php中的代码被移除,它能够自己进行修复。

index-php-injection

如果我们忘记通过非常规方式向Wordpress添加功能,这段代码确实能够起到强有力的保护机制。当然,这并非看上去那么完美,对于那些有针对性的攻击起到的作用并不大,特别是当攻击者了解这个保护机制以后。但是无法否认的是,这个保护机制确实会为站长解决一些不必要的麻烦,至少这个保护机制能够防止目前95%的自动化枚举攻击。

讲了半天,难道这个插件真真正正的是一款不可多得的优秀插件?我会告诉你wp-core.php中500多行的代码中有关“bootstrap”的代码不足100行?那么剩下的80%代码都是做什么的呢?

wp-core.php中的恶意代码

那么剩下的那80%代码都是没有保护作用的。

举个例子,它可以显示所有存储在Wordpress数据库中的电子邮箱,如果不需要授权就可以提取邮箱地址,之前的保护也就变得毫无意义了。

同时,还安装有一个开放的重定向器。现在黑客就可以向使用了“bruteforce protection” 的网站站长发送垃圾邮件了,钓鱼再或者对网站访客进行重定向到一个黑客指定的网站。

实例演示

‍‍wp-core.php的主要功能就是管理 pharma-spam doorways。如果一个博客的URL有其特定的参数(比如“th”,类似 http://www .example .com/?th=doryx+150mg+exclusivity)那么wp-core.php会将正常的博客内容替换成垃圾内容。
如果访问者不是机器人,而是来自搜索引擎。那么它会通过单独的关键字,重定向到其他网站

redirect-up-result1

在跳转之前,恶意插件会设置一个相同命名的cookies作为URL参数。在接下来的100天内,相同的访问者如果再次打开网页依旧会进行跳转到其他页面。

如果访问者没有cookies,也不是从搜索引擎过来的。这样的访问者所访问页面就会显示大量的垃圾内容。

这些垃圾内容就存储在wp-admin/update-backup.db文件中

通用性

必须要提到一点,尽管这是一个Wordpress插件,但是同样可在其他PHP站点中运行。唯一的区别只是WP-specific函数无法使用而已。

总结

总之这个插件真的很奇怪。它试图将所有类型的PHP站点作为目标,并将自身注入到index.php。但主要目标还是Wordpress站点。

这样就可以解释为何以wp-core.php命名了,并且在Wordpress根目录下也不是那么的显眼,但是这个文件在Joomla 或者vBulletin搭建的网站下就显得十分刺眼了。

wp-core.php文件很容易被安全性插件通过检测Wordpress核心完整性然后查杀。为了分散使用者的注意,该插件包含有一些能优化Wordpress的功能。

最后,最近经常爆出Wordpress插件的漏洞,希望各位在使用各种插件的时候多仔细审查,免受无妄之灾

最后声明,汉译文本来自freebuf

上一篇: 下一篇:

8 条评论

评论加载中...
  1. 202442 527555Any person several opportune pieces, it comes surely, as well as you bring in crave of various the numerous other types of hikers close to you with hard part your question. pre owned awnings 765967

    2018年8月14日 16:37 评论
  2. 5楼
    来自天朝的朋友 火狐浏览器 Windows 7
    Balrogs丶小涛  

    嘿嘿不管风来雨去,到幻杀博客报到是必须地, :cy: ,顺便提高曝光率~~打卡时间:下午5:44:55

    2015年6月17日 17:45 评论
  3. 4楼
    来自天朝的朋友 未知浏览器 Unknow Os
    唐家三藏  

    头晕

    2015年4月1日 09:39 评论
  4. 地板
    来自天朝的朋友 未知浏览器 Unknow Os
    在路上  

    哦,长文好累,看了一半放弃了

    2015年3月28日 15:20 评论
  5. 板凳
    来自天朝的朋友 未知浏览器 Unknow Os
    理财渠道  

    我承认眼睛花了。

    2015年3月19日 11:09 评论
  6. 沙发
    来自天朝的朋友 未知浏览器 Unknow Os
    淘乐导刊  

    2015年3月18日 15:30 评论

发表评论

不理你。不要啊!吃饭。吃惊。吃西瓜。飞吻!恭喜!Hi纠结!膜拜!OK抛媚眼。泡泡糖。抛钱。忍!生闷气!调皮。偷看。委屈。献花。疑问?抓狂!

小提示:Ctrl+Enter快速提交助您一臂之力~
加载中……