2015-03-31,德國計算機緊急響應小組(CERT-Bund)發(fā)布緊急通知��,攻擊者利用WordPress常用幻燈片插件Slider Revolution(RevSlider)的已知漏洞�,攻陷了全球范圍內至少3,000個WordPress網站。
關于漏洞 早在2014年12月���,Sucuri公司就曾發(fā)布報告稱�����,超過100,000個WordPress網站被攻陷并用來傳播惡意軟件SoakSoak�。
“我們的分析顯示了大量WordPress網站受到的影響�����。我們不能確定其攻擊途徑����,但是初步分析顯示這和我們幾個月報道過的Revslider漏洞有關�����!
而現(xiàn)在,RevSlider漏洞再一次被攻擊者利用��,這些攻擊者們在攻陷的網站上注入惡意iframe�,將訪客重定向到釣魚工具包(exploit kit)網站。
攻擊者通過本地文件包含(LFI)漏洞攻陷網站����。LFI漏洞能夠讓攻擊者們讀取服務器文件系統(tǒng),然后攻擊者建立新的管理員帳號����,上傳惡意腳本,在其他WordPress插件文件中安裝后門�。
對一個被黑網站的調查顯示,攻擊者采取了如下步驟:
1��、利用RevSlider添加新的管理員帳戶
2�、上傳了一個名為smart.php的腳本
3、攻擊者編輯了WordPress中的三個文件��;WordPress插件中的兩個文件被安裝了代碼執(zhí)行后門,攻擊者修改了WordPress程序中的‘nav-menu.php’文件
一般情況下����,攻擊者會將受害者們重定向到流行的Fiesta EK的網站,但是Klijnsma說攻擊者們也會使用Angler EK�����。釣魚工具包(exploit kit)被很多惡意軟件使用�,包括Cryptowall 3.0勒索軟件���、金融木馬和廣告欺詐軟件�����。
數據統(tǒng)計
計算機緊急響應小組收集了關于這個黑客行動的珍貴信息:超過半數被攻陷的網站都是.com域名���,多數都是美國的。被攻擊的網站還包括在荷蘭����、德國、法國���、西班牙�、英國、意大利�、波蘭、加拿大和新加坡的網站�。 
解決方法:
安裝云鎖-免費服務器安全軟件,并在云鎖“網站漏洞防護”功能中添加自定義規(guī)則(如下圖)
規(guī)則描述:wordpress防Revslider插件漏洞利用
規(guī)則內容:revslider_show_image&img=../
規(guī)則添加以后的防御效果: 
云鎖官方下載地址: http://www.yunsuo.com.cn/ht/software/ 注:文章中RevSlider插件漏洞介紹內容來自Freebuf黑客與極客(FreeBuf.COM) | 
發(fā)表于 2015-4-1 17:49
|