威胁七亿网站的恶意软件SoakSoak解读-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

威胁七亿网站的恶意软件SoakSoak解读

虎笑 2014-12-19 10:23:42 36179




在周日早上,一条震惊的消息在WordPress社区内传播。据称Google将超过11,000域名列入黑名单,这些网站都被一款最新的恶意软件攻击。由于软件来源于SoakSoak.ru,所以起名为SoakSoak 恶意软件。众所周知,当前互联网上有超过7亿网站使用WordPress,这样的恶意软件影响是非常巨大的。

阿里云云盾安全服务在获得该漏洞的第一时间已完成规则更新,网站防护系统可以对采用WordPress的阿里云用户提供SoakSoak 恶意软件的防护,保证用户的网站安全。

0x1:感染原因

这些被感染恶意蠕虫的wordpress站点经过国外研究者通过日志发现,源于一个名叫Slider Revolution的wordpress插件导致的。这个插件曾经爆出过两个漏洞,攻击者是通过这个插件漏洞植入恶意代码到目标wordpress站点上的。

参考:http://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html

0x2: 感染行为

首先攻击者通过GET方式访问/wp-content/plugins/revslider/rs-plugin/font/revicons.eot 检测revicons.eot这个文件是否存在。如果存在,说明这个wordpress站点安装了revslider插件。

接下来攻击者访问/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php ,这是revslider插件的其中一个任意文件读取漏洞。通过这个URL,读取wp-config.php这个配置文件。通过能否读取成功,判断revslider插件是否存在漏洞。然后攻击者将尝试使用这个插件的另一个漏洞(参考:http://www.exploit-db.com/exploits/35385/),利用这个漏洞,攻击者能够上传一个恶意主题包。

最后通过后门修改 /wp-includes/js/swfobject.js 文件 里面包含一段恶意的JS代码,JS代码包含恶意站点的JS,即 http://soaksoak.ru/xteas/code,最终达到植入恶意代码的目的。

0x3:修复

首先检查/wp-includes/template-loader.php和/wp-includes/js/swfobject.js文件,看是否被攻击者修改过,当然,如果wordpress站点安装了revslider插件。
当然,这还不够,还需要检查revslider插件的版本,升级到最新版本,或者直接删除revslider插件。

来自:阿里巴巴安全工程师 可弈

安全 JavaScript
分享到
取消 提交回答
全部回答(1)
+ 订阅

云安全开发者的大本营

推荐文章
相似问题