近期WordPress安全事件最近頻發，上次出了一個惡意軟件SoakSoak，現在又來了一個與其有關的惡意軟件感染事件——WPcache-Blogger。這場事件由一個被惡意軟件控制的網站wpcache-blogger.com命名，雖然同樣由于RevSlider漏洞引起，但是攻擊手法迥異。在過去幾天里，已有5萬Wordpress網站受到影響。

[[125371]]

科普：

RevSlider是一款WordPress幻燈片插件，攻擊者可能利用了該插件的任意文件下載漏洞獲取了大量的WordPress的wp-config.php配置文件，并通過任意文件上傳漏洞上傳webshell對WordPress的源碼文件進行修改，插入了惡意代碼。

惡意軟件SoakSoak其主要攻擊手段是以RevSlider插件漏洞為切入點，通過上傳一個后門，然后對所有使用該服務器的網站進行感染。這就意味著即使該網站不使用RevSlider也會被感染，因此其具有強大的傳播能力。

感染集群

與惡意軟件SoakSoak不同，這次的主角WPcache-Blogger由三個感染控制體系組成了一個感染集群。在這里我們做一下詳細分析：

1.wpcache-blogger

網站wpcache-blogger.com作為惡意軟件主控端，以作遠程命令分發和控制之用。Google表示其屏蔽的12,418個黑名單網站是因為受其影響。

該網站在過去的三個月里被掛上了該惡意軟件，波及了大概12,418個網站域名，其中包括bertaltena.com，polishexpress.co.uk，maracanafoot.com。

2.ads.akeemdom.com

本感染體系似乎是SoakSoak背后的黑客組織所為，但是影響規模較小一些，據Google統計至今受影響的有6,086個網站。在過去的三個月里，影響的網站包括fitforabrideblog.com，notjustok.com，notanotherpoppie.com。

3.122.155.168.0

這個感染體系在SoakSoak事件發生之后不久開始活躍，不過最近其進度似乎慢了下來。據Google統計，受影響的網站大概有9,731個。

這個網站為惡意軟件進行分布式控制的中間件，在過去的三個月里，122.155.168.0作為中間件影響了9,731個網站，其中包括kitchenandplumbing.com，salleurl.edu，radiorumba.fm。

惡意軟件框架

據Google安全瀏覽網站列表統計，在這段時間內共有28,235網站遭到波及。而在我們內部的分析結果中，卻有超過50,000個WordPress網站在以上感染控制體系中躺槍，也就是說Google的黑名單網站庫并沒有囊括完全。

然而，WPcache-blogger事件的惡意軟件已經影響了許多網站，其強大的感染力是其最具攻擊性的的一點。當它感染了一個站點后，會在該主題的頁腳下添加如下代碼：

eval ( base64_decode("ZnVuY.. 

這段代碼會連接http://wpcache-blogger.com/getlinks.php，反饋信息給惡意軟件框架背后的黑客。有趣的是，在你刷新頁面時，它會通過一個iframe框架加載假冒的Google網站頁面。

真實的例子：

<iframe src="httx://theme.wpcache-blogger.com/css&quot... 

但是它可能有時候會偽裝顯示為正常代碼，讓你難以檢測:

<iframe src="http://google.com".. 

如果你發現你的網站上有個鏈接到Google.com的iframe框架時，你得檢查下自己是不是已經被黑了。

安全建議

我們建議你必須盡快升級以避免新的攻擊，盡管升級并不能清理你的網站后門，但對于控制該漏洞的危害還是有幫助的。

升級之后你需要對網站進行一個全面的安全清理和木馬后門檢測。僅僅重裝你的WordPress并不能解決問題，正如先前提到的一樣，這次的攻擊與惡意軟件soaksoak一樣，會大面積地對網站注入了后門。因此即使重裝WordPress，黑客依然可以輕松越過防護重新取得你網站的權限。

參考來源：sucuri