据来自 Sucuri 和 Malwarebytes 的安全研究员称，本月有成千上万的 WordPress 网站遭到黑客入侵并被恶意代码攻击。尽管这些事件的入口似乎都不同，但都遵循类似的模式 —— 从已知威胁者处加载恶意代码。研究人员认为入侵者正在想办法获取访问这些网站的机会，他们不是利用 WordPress CMS 本身的漏洞，而是利用过时的主题和插件中的漏洞。

当获得对网站的访问权限时，他们会建立一个后门，以便日后访问并修改网站的代码。

在多数情况下，他们会修改 PHP 或 JavaScript 文件以加载恶意代码，尽管有些用户报告记录了他们对数据库表的修改。

Malwarebytes 安全研究员 JérômeSegura 表示，这种恶意代码会筛选访问过受感染网站的用户，并将一些用户重定向到技术支持诈骗网站。其中一些技术支持骗局正是利用 Google Chrome 的 “evil cursor” 漏洞，阻止用户关闭恶意网站。

Sucuri研究员Denis Sinegubko 于9月18日发文 Multi-Vector WordPress Infection from Examhome。

今年9月，我们一直看到一股巨大的感染浪潮，它将恶意JavaScript代码注入.js，.php文件和WordPress数据库。

脚本如下所示：

如果你解码它，它会从hxxps：//ads.voipnewswire [。] net / ad.js以及之后的hxxps：// examhome [。] net / stat.js？v = 1.0.2中注入脚本。其他一些相关的URL是hxxps：//cdn.allyouwant [。] online / main.js？t = c和hxxps：// mp3menu [。] org / mp3.js，/ b>。

有时，可以将指向此类脚本的链接注入到wp_posts表中，而无需任何混淆，例如：

此广告系列中使用了许多不同的攻击媒介。恶意软件的位置差异很大，这个恶意软件的更常见版本可以在名称中包含jquery的.js文件中找到。或者它们被注入到易受攻击的WordPress主题和插件的设置中，例如，非常旧的tagDiv主题（报纸，Newsmag及其衍生物）或未修补的智能谷歌代码插入器插件。

这场 WordPress 网站劫持活动于本月开始，并在最近几天加剧。将这次攻击的 JavaScript 恶意代码片断放到搜索引擎搜索，会有超过 2,500 个结果。而这只是被黑客攻击的网站总数的一小部分。

• 参考来源：开源中国

•  Sucuri

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！