攻击者设法将后门嵌入到由 AccessPress 开发的 WordPress 内容管理系统的 40 个插件和 53 个主题中,该系统声称其插件已在超过 360 万个网站上使用。目前尚未提供该事件的分析结果,但假设恶意代码是在 AccessPress 网站遭到入侵期间引入的,由于存在后门,因此对已发布版本中提供下载的档案进行了更改仅存在于通过官方 AccessPress 网站分发的代码中,但在通过 WordPress.org 目录分发的相同版本的附加组件中不存在。
这些恶意更改是由 JetPack(WordPress 开发者 Automatic 的一个部门)的一名研究人员在检查客户网站上发现的恶意代码时发现的。对情况的分析表明,从 AccessPress 官方网站下载的 WordPress 插件中存在恶意更改。同一制造商的其他附加组件也受到恶意修改,允许以管理员权限完全访问该网站。
在修改过程中,攻击者将“initial.php”文件添加到带有插件和主题的存档中,该文件通过“functions.php”文件中的“include”指令连接。为了迷惑踪迹,“initial.php”文件中的恶意内容被伪装成 Base64 编码的数据块。恶意插入以从wp-theme-connect.com网站获取图像为幌子,直接将后门代码加载到wp-includes/vars.php文件中。
第一批对 AccessPress 插件进行恶意更改的网站于 2021 年 15 月被发现。据推测,后门就是在那时被插入到附加组件中的。向 AccessPress 发出的有关已发现问题的第一个通知没有得到答复,AccessPress 在让 WordPress.org 团队参与调查后才引起注意。 2021年17月2022日,受后门影响的档案已从AccessPress网站上删除,并于XNUMX年XNUMX月XNUMX日发布了新版本的附加组件。
Sucuri 单独检查了安装了受影响版本的 AccessPress 的网站,并发现存在通过后门加载的恶意模块,该后门发送垃圾邮件并将转换重定向到欺诈网站(这些模块的日期为 2019 年和 2020 年)。据推测,后门的作者正在出售对受感染网站的访问权限。
包含后门替换的主题:
- 访问伙伴1.0.0
- accesspress-基本 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- 访问新闻视差 4.5
- 访问press-ray 1.19.5
- 访问press-root 2.5
- accesspress-staple 1.9.1
- 访问新闻商店 2.4.9
- 精简版代理 1.1.6
- 阿普利特 1.0.6
- 短发1.0.4
- 博主1.2.6
- 精简版建筑 1.2.5
- 多科 1.0.27
- 启迪1.3.5
- 快闪店1.2.1
- 摄影2.4.0
- 加加公司 1.0.8
- 加加精简版 1.4.2
- 一格 2.2.8
- 视差博客 3.1.1574941215
- 视差体1.3.6
- 平底船 1.1.2
- 旋转1.3.1
- 纹波1.2.0
- 滚动2.1.0
- 体育杂志 1.2.1
- 斯托维拉1.4.1
- 摇摆精简版 1.1.9
- 启动器 1.3.2
- 星期一 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- v杂志新闻 1.0.5
- zigcy-baby 1.0.6
- zigcy-化妆品 1.0.5
- zigcy-lite 2.0.9
检测到后门替换的插件:
- accesspress-匿名-帖子 2.8.0 2.8.1 1
- accesspress-自定义-css 2.0.1 2.0.2
- accesspress-自定义帖子类型 1.0.8 1.0.9
- 访问新闻-facebook-自动发布 2.1.3 2.1.4
- 访问press-instagram-feed 4.0.3 4.0.4
- 访问新闻-pinterest 3.3.3 3.3.4
- 访问新闻社交计数器 1.9.1 1.9.2
- 访问新闻社交图标 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- 访问新闻社交分享 4.5.5 4.5.6
- 访问新闻推特自动发布 1.4.5 1.4.6
- 访问新闻-twitter-feed 1.6.7 1.6.8
- ak-菜单-图标-lite 1.0.9
- ap-伴侣 1.0.7 2
- ap-联系表格 1.0.6 1.0.7
- ap-定制-感言 1.4.6 1.4.7
- ap-mega-菜单 3.0.5 3.0.6
- ap-定价表-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7 存储到 db-lite 1.0.9 1.1.0
- 评论禁用访问新闻 1.0.7 1.0.8
- Easy-side-tab-cta 1.0.7 1.0.8
- 珠穆朗玛峰管理主题精简版 1.0.7 1.0.8
- 珠穆朗玛峰即将推出-精简版 1.1.0 1.1.1
- 珠穆朗玛峰评论评级精简版 2.0.4 2.0.5
- 珠穆朗玛峰计数器精简版 2.0.7 2.0.8
- 珠穆朗玛峰常见问题管理器精简版 1.0.8 1.0.9
- 珠穆朗玛峰画廊精简版 1.0.8 1.0.9
- 珠穆朗玛峰谷歌地点评论精简版 1.0.9 2.0.0
- 珠穆朗玛峰评论精简版 1.0.7
- 珠穆朗玛峰-tab-lite 2.0.3 2.0.4
- 珠穆朗玛峰时间线精简版 1.1.1 1.1.2
- 内联号召行动构建器精简版 1.1.0 1.1.1
- woocommerce-lite 的产品滑块 1.1.5 1.1.6
- 智能徽标展示精简版 1.1.7 1.1.8
- 智能滚动帖子 2.0.8 2.0.9
- 智能滚动到顶部精简版 1.0.3 1.0.4
- 总体 GDPR 合规性精简版 1.0.4
- 总团队精简版 1.1.1 1.1.2
- 终极作者盒精简版 1.1.2 1.1.3
- 终极形式建造者精简版 1.5.0 1.5.1
- woo-徽章设计师-lite 1.1.0 1.1.1
- wp-1-滑块 1.2.9 1.3.0
- wp-博客管理器-lite 1.1.0 1.1.2
- 可湿性粉剂评论设计师精简版 2.0.3 2.0.4
- wp-cookie-用户信息 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- 可湿性粉剂浮动菜单 1.4.4 1.4.5
- 可湿性粉剂媒体管理器精简版 1.1.2 1.1.3
- 可湿性粉剂弹出横幅 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- 可湿性粉剂产品画廊精简版 1.1.1
来源: opennet.ru