Wordpress再曝后门,约11000网站被感染

国外安全公司Sucuri发现近几个月来，近11000个网站感染了一个后门，该后门将访问者重定向到对谷歌Adsense提供的广告进行虚假浏览的网站。

Sucuri公司发现的所有10890个受感染的网站都运行WordPress内容管理系统，并有一个模糊的PHP脚本，该脚本被注入到为网站提供支持的合法文件中。这样的文件包括“index.php”、“wp-signup.php”、“wp-activate.php”和“wp-cron.php”等等。一些受感染的网站还将混淆代码注入wp-blog-header.php和其他文件。额外注入的代码充当后门，旨在确保恶意软件能够通过将自身加载到目标服务器重启时运行的文件中。

据Sucuri研究人员说,这些后门从远程域filestack[.]live下载额外的shell和LeafPHP邮件脚本，并将它们放在wpincludes、wpadmin和wpcontent目录中具有随机名称的文件中。由于附加的恶意软件注入被存放在wp-blog-header.php文件中，每当加载网站时，它就会执行并重新感染网站。这确保了在处理所有恶意软件痕迹之前，环境仍然受到感染。

该恶意软件还非常的狡猾, 当网站管理员登录或在过去两到六个小时内访问了受感染的站点时，重定向将被暂停。另外,恶意代码也使用了Base64编码进行混淆,如下图是混淆后代码:

解码后的明文代码:

类似地，通过确保网站被再次感染的后门混淆代码：

解码后PHP代码:

至少自去年9月以来，大规模网站感染一直在持续。在11月发布的一篇文章中，Sucuri研究人员警告说： “目前，我们还没有注意到这些登录页面上的恶意行为。然而，在任何给定的时间，网站运营商都可能随意添加恶意软件或开始将流量重定向到其他第三方网站。” 目前，该活动的目标似乎是为包含谷歌Adsense广告的网站生成"自然流量"。参与骗局的Adsense账户包括：

为了使访问避开网络安全工具的检测，并使其看起来是来自真实用户自愿查看页面的行为，通过Google和Bing搜索进行重定向：

最终目的地网站大多是讨论比特币或其他加密货币的问答网站。一旦重定向的浏览器访问其中一个网站，骗子就成功了。Sucuri研究人员解释道：

本质上，网站所有者在其网站上发布谷歌批准的广告，并根据其获得的浏览量和点击量获得报酬。这些观点或点击来自何处并不重要，只要它能给那些付费观看广告的人留下这样的印象，即他们实际上是被看到的。 当然，与这种感染相关的网站的通常浏览量都比较低，因此他们能够获得大量流量的唯一方式是通过恶意手段。 换言之：通过假短URL将不需要的重定向到假问答网站会导致广告浏览量/点击量膨胀，从而导致该活动背后的任何人的收入膨胀。这是一场规模巨大且持续不断的有组织的广告收入欺诈活动。 根据谷歌AdSense文档，这种行为是不可接受的，出版商不得在违反谷歌网络搜索垃圾邮件政策的页面上放置谷歌服务的广告。

目前还没有确认谷歌有删除识别到的Adsense账户的计划，或寻找其他手段打击该骗局。

目前尚不清楚网站最初是如何被感染的。通常，感染WordPress站点的最常见方法是利用站点上运行的易受攻击的插件,Sucuri没有发现任何在受感染网站上运行的bug插件.