[已解決] WordPress幻燈片插件RevSlider漏洞緊急修復(fù)方案

edeson

2015-03-31，德國(guó)計(jì)算機(jī)緊急響應(yīng)小組(CERT-Bund)發(fā)布緊急通知，攻擊者利用WordPress常用幻燈片插件Slider Revolution（RevSlider）的已知漏洞，攻陷了全球范圍內(nèi)至少3,000個(gè)WordPress網(wǎng)站。

關(guān)于漏洞

早在2014年12月，Sucuri公司就曾發(fā)布報(bào)告稱，超過(guò)100,000個(gè)WordPress網(wǎng)站被攻陷并用來(lái)傳播惡意軟件SoakSoak。

“我們的分析顯示了大量WordPress網(wǎng)站受到的影響。我們不能確定其攻擊途徑，但是初步分析顯示這和我們幾個(gè)月報(bào)道過(guò)的Revslider漏洞有關(guān)�！�

而現(xiàn)在，RevSlider漏洞再一次被攻擊者利用，這些攻擊者們?cè)诠ハ莸木W(wǎng)站上注入惡意iframe，將訪客重定向到釣魚工具包(exploit kit)網(wǎng)站。

攻擊者通過(guò)本地文件包含（LFI）漏洞攻陷網(wǎng)站。LFI漏洞能夠讓攻擊者們讀取服務(wù)器文件系統(tǒng)，然后攻擊者建立新的管理員帳號(hào)，上傳惡意腳本，在其他WordPress插件文件中安裝后門。

對(duì)一個(gè)被黑網(wǎng)站的調(diào)查顯示，攻擊者采取了如下步驟:

1、利用RevSlider添加新的管理員帳戶

2、上傳了一個(gè)名為smart.php的腳本

3、攻擊者編輯了WordPress中的三個(gè)文件；WordPress插件中的兩個(gè)文件被安裝了代碼執(zhí)行后門，攻擊者修改了WordPress程序中的‘nav-menu.php’文件

一般情況下，攻擊者會(huì)將受害者們重定向到流行的Fiesta EK的網(wǎng)站，但是Klijnsma說(shuō)攻擊者們也會(huì)使用Angler EK。釣魚工具包(exploit kit)被很多惡意軟件使用，包括Cryptowall 3.0勒索軟件、金融木馬和廣告欺詐軟件。

數(shù)據(jù)統(tǒng)計(jì)

計(jì)算機(jī)緊急響應(yīng)小組收集了關(guān)于這個(gè)黑客行動(dòng)的珍貴信息：超過(guò)半數(shù)被攻陷的網(wǎng)站都是.com域名，多數(shù)都是美國(guó)的。被攻擊的網(wǎng)站還包括在荷蘭、德國(guó)、法國(guó)、西班牙、英國(guó)、意大利、波蘭、加拿大和新加坡的網(wǎng)站。

解決方法：

安裝云鎖-免費(fèi)服務(wù)器安全軟件，并在云鎖“網(wǎng)站漏洞防護(hù)”功能中添加自定義規(guī)則（如下圖）

規(guī)則描述：wordpress防Revslider插件漏洞利用

規(guī)則內(nèi)容：revslider_show_image&img=../

規(guī)則添加以后的防御效果：

云鎖官方下載地址：

http://www.yunsuo.com.cn/ht/software/

注：文章中RevSlider插件漏洞介紹內(nèi)容來(lái)自Freebuf黑客與極客（FreeBuf.COM）