威胁七亿网站的恶意软件SoakSoak解读

在周日早上，一条震惊的消息在WordPress社区内传播。据称Google将超过11,000域名列入黑名单，这些网站都被一款最新的恶意软件攻击。由于软件来源于SoakSoak.ru，所以起名为SoakSoak 恶意软件。众所周知，当前互联网上有超过7亿网站使用WordPress，这样的恶意软件影响是非常巨大的。

阿里云云盾安全服务在获得该漏洞的第一时间已完成规则更新，网站防护系统可以对采用WordPress的阿里云用户提供SoakSoak 恶意软件的防护，保证用户的网站安全。

0x1：感染原因

这些被感染恶意蠕虫的wordpress站点经过国外研究者通过日志发现，源于一个名叫Slider Revolution的wordpress插件导致的。这个插件曾经爆出过两个漏洞，攻击者是通过这个插件漏洞植入恶意代码到目标wordpress站点上的。

参考：http://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html

0x2: 感染行为

首先攻击者通过GET方式访问/wp-content/plugins/revslider/rs-plugin/font/revicons.eot 检测revicons.eot这个文件是否存在。如果存在，说明这个wordpress站点安装了revslider插件。

接下来攻击者访问/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php ，这是revslider插件的其中一个任意文件读取漏洞。通过这个URL，读取wp-config.php这个配置文件。通过能否读取成功，判断revslider插件是否存在漏洞。然后攻击者将尝试使用这个插件的另一个漏洞（参考：http://www.exploit-db.com/exploits/35385/），利用这个漏洞，攻击者能够上传一个恶意主题包。

最后通过后门修改 /wp-includes/js/swfobject.js 文件 里面包含一段恶意的JS代码，JS代码包含恶意站点的JS，即 http://soaksoak.ru/xteas/code，最终达到植入恶意代码的目的。

0x3：修复

首先检查/wp-includes/template-loader.php和/wp-includes/js/swfobject.js文件，看是否被攻击者修改过，当然，如果wordpress站点安装了revslider插件。
当然，这还不够，还需要检查revslider插件的版本，升级到最新版本，或者直接删除revslider插件。

来自：阿里巴巴安全工程师 可弈