2025-05-01 12:02:17
Wordfence研究团队警告称,该恶意软件能赋予攻击者持续的访问权限,允许他们执行远程代码并注入JavaScript脚本。更狡猾的是,它隐藏在插件仪表盘之外,让用户难以察觉其存在。该恶意软件一旦激活,立即通过“emergency_login_all_admins”功能为攻击者提供管理员权限。攻击者只需输入明文密码,即可获取数据库中首个管理员账户的控制权,登录网站后台。Wordfence团队在2025年1月末的一次网站清理中首次发现该恶意软件。他们注意到“wp-cron.php”文件被篡改,用于创建并激活名为“WP-antymalwary-bot.php”的恶意插件。亚汇网援引博文介绍,此外该恶意软件还会创建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等恶意插件。即使管理员删除这些插件,“wp-cron.php”会在下一次网站访问时自动重新生成并激活它们。由于缺乏服务器日志,研究人员推测感染可能源于被盗的主机账户或FTP凭据。该恶意插件不仅窃取管理员权限,还通过自定义RESTAPI路由插入任意PHP代码到网站的“header.php”文件中,清除插件缓存,并执行其他命令。最新版本甚至能将base64编码的JavaScript注入到网站的“<head>”部分,可能用于向访客推送广告、垃圾信息或将其重定向到不安全网站。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
