无论是技术人员的粗心大意,还是不法骇客的持续扩散,一些曾经被披露的漏洞或是后门,在浩瀚的网络空间里,都有可能仍然拥有它那足够强大的破坏力,吸引着那些黑产从业者。
据网络安全公司知道创宇披露,近日旗下404安全团队再次捕获到一个包含后门的wordpress主题样本,安全研究人员表示,wordpress 主题后门“年代久远”,早在2010年就在国外被披露出来,可是令人遗憾的是,到现在这个后门仍然广泛存在,甚至已经扩散到了一些主题下载站点,将来可能还会得到进一步扩散。
作为 php 知名博客平台,根据 zoomeye 网络空间搜索引擎监测显示,全球共有3943763台 web 站点建立在这一平台之上。
通过技术分析,安全研究人员进一步披露了后门的实现方式。
在感染有后门主题的 functions.php 这一文件中,一段代码负责实现检查并感染其它主题,同时将网站地址发送至特定邮箱。进一步分析显示,接下来的另一段代码描述了骇客真正的目的,即可实现只需用户 id 无须密码便可提权登录的后门功能。
404安全研究人员进一步表示,该 id 为任一用户 id,显然对于任何人来说获取任一用户 id 实在太过于简单,所以如果 wordpress 的拥有者一旦启用了含有后门代码的扩展主题,就代表着已经交出了网站的控制权。
借助于 zoomeye 网络空间搜索引擎,研究人员进一步对存在这一后门的全球wordpress 网站进行了统计测绘。
数据显示全球8000台主机目前仍然运行着留有后门的 wordpress,其中美国影响最为严重,数量接近3000台,而在我国,这一数量也接近1000台。
技术人员进一步统计了留有后门的wordpress 主机,其中 title 显示,这一后门漏洞已被黑色产业所应用,娱乐、博会等关键词占据绝大部分,而官网、博会等字样,也有涉嫌电信网络欺诈嫌疑。
安全研究人员表示,这一后门进一步详情不久后将在seebug.org 漏洞平台上进行收录,向外界公布进一步细节。而据了解,知道创宇云安全旗下 web 防护产品创宇盾无需升级即可对这一提权登录后门实现防护。
