一个新的Wordpress插件漏洞利用危及数千个网站
在过去的几天里,攻击者一直在利用WP移动探测器中的未分割漏洞,一个在超过10,000个网站上安装的WordPress插件。
插件的开发人员修复了3.6版中周二的漏洞,但除了立即更新之外,用户还应该检查他们的网站HAVEN'T已经被黑了。
该漏洞位于称为Resize.php脚本的脚本中,允许远程攻击者将任意文件上传到Web服务器。这些文件可以是后台脚本,称为Web shell,为服务器提供后门访问的攻击者以及将代码注入合法页面的功能。
在观察WP-Content / Plugins / WP-Mobile-Detector / Resize.php之后,WordPress Security OutFit PlugInVulnerAbilities.com发现了缺陷即使它不存在于其服务器上。这表明某人为该特定文件运行了自动扫描,可能是因为它有一个缺陷。
来自Web安全公司Sucuri的研究人员已经分析了公司的防火墙日志,并在修补程序释放前四天以来发现了剥削尝试。即使在该日期之前,攻击者也能知道攻击者。
WP移动探测器,它不应与不同的未受影响的插件混淆,被称为WP Mobile Detect,用于在5月初拥有超过10,000个有效安装。现在它有大约2,000,但在发现漏洞之后,从WordPress.org插件目录中短暂地删除了插件。
根据插件漏洞有一个限制因素:为了使这个缺陷可利用,需要在服务器上启用allow_url_fopen功能。
由于它不清楚有多少网站被攻击,因此对于使用此插件的WordPress网站所有者来检查他们的服务器以查看妥协的迹象。
“此时,大多数脆弱的网站都感染了色情垃圾邮件门口,”Sucuri研究员Douglas Santos在一个博客文章中说。“您通常可以在网站root中找到gopni3g目录,其中包含Story.php(门道入门生成器脚本),.htaccess和subdirector,具有垃圾文件和模板。”