黑客正在利用onetone在wordpress网站上创建后门帐户-尊龙凯时官方旗舰店

黑客正在利用onetone在wordpress网站上创建后门帐户
作者:zdnet 发布时间:2020-04-28

黑客正在利用漏洞对运行onetone主题的wordpress网站展开攻击,该漏洞使他们能够读取和写入网站cookie并创建后门管理员帐户。

该攻击自本月初以来一直在进行,并且仍在进行中。

onetone是magee wp开发的一种流行但现已弃用的wordpress主题,有免费和付费版本,该漏洞是是跨站点脚本(xss)漏洞,

未修补漏洞

xss漏洞使攻击者可以将恶意代码注入主题设置中。该漏洞是由nintechnet的jerome bruandet于去年9月发现的,并已报告给主题作者和wordpress团队。

自2018年以来其网站未收到任何更新的magee wp未发布修复程序。在magee无法修复补丁之后,wordpress团队在一个月后的2019年10月从官方wordpress存储库中删除了该主题的免费版本。

根据 godaddy拥有的网络安全公司sucuri 的报告,攻击者于本月初开始利用此漏洞。

sucuri专家说,黑客一直在使用xss错误在onetone主题设置中插入恶意代码。由于主题在任何页面加载之前都会检查这些设置,因此代码会在易受攻击的站点的每个页面上触发。

窃取流量并创建后门帐户

苏库里(sucuri)的卢克·里尔(luke leal)说,该代码具有两个主要功能。一种是将网站的某些传入用户重定向到ischeck [。] xyz托管的流量分配系统,而第二种功能则创建后门机制。

但是,对于大多数访问该网站的用户来说,后门机制处于休眠状态。仅在站点管理员访问站点时触发。

该恶意代码可以识别站点管理员从常规用户访问该站点,因为它会在页面顶部查找wordpress管理员工具栏的存在,该工具栏仅对已登录的管理员显示。

20200428-1-2.png

图片:sucuri

一旦检测到管理员级别的用户,插入xss的恶意代码就会执行一系列静默的自动操作,从而在管理员用户不知情的情况下利用管理员用户的访问权限。

leal表示后门有两种创建方式-通过在wordpress仪表板中添加管理员帐户(用户名为system),或在服务器端创建管理员帐户级cookie文件(名为tho3faek的cookie文件)。

这两个后门的作用是,在从onetone设置中删除xss代码或修复xss onetone漏洞的情况下,授予攻击者对该站点的访问权限。

可悲的是,它似乎永远无法获得修复。尽管去年得到了通知,但该公司未在两周前回应sucuri的置评请求,也未回应zdnet上周发送的类似电子邮件。

针对onetone网站的攻击仍在继续。两周前,sucuri报告说,超过20,000个wordpress网站正在运行onetone主题。

如今,由于网站所有者开始根据当前的黑客攻击开始迁移到其他主题,该数字已降至16,000以下。


网站地图