安基网 欢乐生肖 资讯 安全报 查看内容

2.5 万多个 WordPress 站点或被攻陷,背后疑似僵尸网络黑产团伙搞的鬼

2019-8-6 18:05| 投稿: |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,一篇来自v2ex的文章被多名博主转发,其称其下站点莫名多了不知名状态的helloworld文章,内容为“Welcome to wiki This is your first post. Edit or delete it, then start blogging!”,因此怀疑被挂马,并对 ...

近日,一篇来自v2ex的文章被多名博主转发,其称其下站点莫名多了不知名状态的helloworld文章,内容为“Welcome to wiki This is your first post. Edit or delete it, then start blogging!”,因此怀疑被挂马,并对此进行核实,发现了一个记录几万个被攻破网站的信息的站点。


▲原文链接:https://www.v2ex.com/amp/t/588483


为求实,我搜索后,发现确实有许多含有该句子的文章


随意打开其中一个站点,发现连续发送了6条(第二页还有),并且时间均为7月末,与v2ex博主描述一致,具有明显的自动化发送特征。



紧接着,通过获取博主提供的全是后门的txt,下载后发现,数量锐减到2万条,与博主所说的3万5并不符合



由于目前网上同行大多认为是插件存在漏洞导致,因此打算将所有的wordpress网站存在的插件进行聚类查看可能性最大,但由于通用插件过多,方案作废。


因此从下载地址出发,查看VT查询结果,发现在7月6日疑似开始布局,文件名仍然为backdoorGood.txt



发现当时列表的Wordpress站点数量高达5万5,而另一个10号的锐减到4万。



这中间发生了什么,主要我随机挑了几个,发现也并没有发送那个helloworld推文,因此从列表锐减的速度  5万->4万->2万来判断,是失去权限了。


但在询问了某大佬后,他给出了下面的答复


在进一步关联分析后,发现域名历史解析ip如下,前三乌拉圭后两欧洲。域名最早解析为5月21日,因此可以确定黑产团伙最早活动时间。

45.227.253.227

45.227.253.234

45.227.253.226

193。57。40。47

193.57.40.36


其中域名下有多个回连C2样本

疑似均为linux僵尸网络木马




并且僵尸网络的木马,都是从Wordpress站点中下载获得

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

http://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

https://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

https://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

https://tgm。tgmapartments。com/hack/f190Iw

http://boutique。liberal。ca/wp-content/uploads/2019/06/8puk0P


而且量很大,我就不一一贴上来了。


至此,一个保守拥有5万5台Wordpress上传恶意软件权限的,通过Wordpress下载linux僵尸网络黑产团伙,展示于此。


而由于僵尸网络木马仅简单分析一二,个人感觉和wordpress漏洞会有点关系,这里他访问的是8081端口(不知道有啥没访问成功)



下面我将最初7月6号的列表上传至Github,但愿从中能帮助老大哥们。

one=5万5

two=4万

剩下的是2W2

僵尸网络样本我也传了一个上去,有兴趣也可以看看


地址:

https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress


如果有哪位大哥在下载列表,然后核查发现自己的站点不幸中招,自动发送了那段推文,请及时保存日志,联系公众号后台,将有专业人员进行核查,防止可能存在的插件漏洞被进一步扩散。


但愿其他老大哥可以通过这些线索发现到底是什么导致了这么大批Wordpress被入侵的问题的根源,防止威胁继续扩散。



解决方案:


1、更新最新版wordpress

虽然博主说最新版也出事了

2、因此,要么关站,要么看戏吧。。




小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
快乐赛车 极速快3 幸运飞艇官网 幸运赛车 澳洲幸运10开奖结果 北京幸运28 澳洲幸运10开奖结果 玖玖棋牌APP下载 北京幸运28 韩国1.5分彩