WordPress被入侵引发的后门漏洞攻击

原创 2012年03月29日 17:03:06

作者:趋势科技欺诈分析师 Karla Agregado

趋势科技收到报告说有大量沦陷的WordPress网站会导致CRIDEX中毒。为了引诱用户访问这些恶意网站,网络犯罪份子会假冒成知名发件人(例如美国商业促进局LinkedIn等)发送垃圾邮件。这些垃圾邮件会利用社会工程学陷阱诱使不知情的用户点击电子邮件中的链接。



点击这样的链接后会被引导至大量被攻破的WordPress网站,用户最终将会遭遇到Blackhole漏洞攻击包,该攻击包会针对CVE-2010-0188CVE-2010-1885漏洞发起攻击。趋势科技以将其命名为JS_BLACOLE.IC



一旦用户点击上图所示的网址,就会被重定向到包含上述漏洞攻击包的网站。

根据趋势科技的分析,通过这个漏洞进行的攻击会在目标电脑上安装WORM_CRIDEX.IC。该蠕虫病毒一旦执行,就会访问网站http://{RandomURL}.ru:8080/rwx/B2_9w3/in/,并通过该网站获取最新的配置信息。

WORM_CRIDEX.IC还会利用域生成算法(DGA)自动生成多个随机域名。这是一种常备网络犯罪分子用于躲避执法单位,以及防止殭尸网络被强行关闭的技术。这个恶意软件还会通过DGA生成的域名下载所需的配置信息。根据静态分析,目前该配置信息可用于执行文件、删除文件/文件夹,并能从凭证储存区中取得保存的凭据。但在我们对此进行测试时已经无法下载配置信息,因此暂时也就无法生效。

趋势科技主动式云端截毒服务可以保护用户免受此类威胁的攻击,我们已经封锁了这个攻击的相关网址,并且能检测出所有相关文件。但为了避免访问这些沦陷的网站,用户在点击可疑邮件的链接时一定要三思而后行,同时务必要先确认邮件是否正常,特别是那些号称来自知名机构的邮件。

@原文出处:CompromisedWordPress sites Drive Users to Blackhole Exploit Kit

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯  http://t.sina.com.cn/trendcloud

    趋势科技CEO:陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro

版权声明:本文为博主原创文章,未经博主允许不得转载。

CentOS后门入侵检测工具

一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很...
  • ZHANG_H_A
  • ZHANG_H_A
  • 2016年11月21日 15:34
  • 1071

wordpress漏洞扫描工具使用(wpscan实战)

http://www.2cto.com/Article/201212/178631.html BT5 WPSCAN 工具使用 首先看下Wpscan 工具目录 /pentest/web/wp...
  • feier7501
  • feier7501
  • 2013年08月07日 08:13
  • 5383

主机被入侵分析过程报告

0x00 结论 14号上午接到同事报告,某主机cpu占用至100%并出现可疑进程,安全部接手调查后结论如下: 主机未限制端口访问,ssh端口暴露外网外部大量ip(100+)对主机进行暴力破...
  • qq_27446553
  • qq_27446553
  • 2016年03月11日 17:18
  • 342

入侵查询记录

入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog  记录登录的用户,可...
  • jabari87
  • jabari87
  • 2016年11月09日 11:14
  • 482

安全运维之:Linux后门入侵检测工具的使用

一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发...
  • exitgogo
  • exitgogo
  • 2014年09月25日 10:29
  • 1551

LNMP被挂马自己动手解决

这几天正忙项目事情,服务器上线了产品还没上线,老收到客户端投诉服务器连不上了,一开始以为php-fpm 挂了,可也没那么儿戏吧,才那么几个人在用,时间确实比较紧张也没时间考虑了,直接service x...
  • xingdavis
  • xingdavis
  • 2015年09月06日 15:29
  • 449

Redis3未授权访问漏洞导致服务器被入侵

Redis未授权访问漏洞
  • oDaiLiDong
  • oDaiLiDong
  • 2017年06月06日 16:03
  • 3184

给WordPress的文章插入数学公式

这里是我的个人网站: https://endlesslethe.com/insert-math-formula-into-wordpress.html 有更多总结分享,最新更新也只会发布在我的个人...
  • u011893609
  • u011893609
  • 2018年01月20日 22:10
  • 55

入侵电脑留后门

从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原。但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后...
  • powmxypow
  • powmxypow
  • 2012年12月15日 15:37
  • 6403

3389 入侵实战

准备工具: WINNTAutoAttack自动攻击器(扫漏洞)(可以扫到1433端口空口令的任意工具)SQLTOOLS(SA空口令连接器)RAMDIN影子3.0中文版(远程控制程序)RADMIN注册码...
  • zhdd1234
  • zhdd1234
  • 2009年08月07日 15:11
  • 507
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:WordPress被入侵引发的后门漏洞攻击
举报原因:
原因补充:

(最多只允许输入30个字)