5万多个WordPress站点或被攻陷,背后疑似僵尸网络黑产团伙搞的鬼

2019年8月5日 306点热度 0人点赞 0条评论

图片


近日,一篇来自v2ex的文章被多名博主转发,其称其下站点莫名多了不知名状态的helloworld文章,内容为“Welcome to wiki This is your first post. Edit or delete it, then start blogging!”,因此怀疑被挂马,并对此进行核实,发现了一个记录几万个被攻破网站的信息的站点。


图片

▲原文链接:https://www.v2ex.com/amp/t/588483


为求实,我搜索后,发现确实有许多含有该句子的文章


图片

随意打开其中一个站点,发现连续发送了6条(第二页还有),并且时间均为7月末,与v2ex博主描述一致,具有明显的自动化发送特征。


图片

图片


紧接着,通过获取博主提供的全是后门的txt,下载后发现,数量锐减到2万条,与博主所说的3万5并不符合


图片


由于目前网上同行大多认为是插件存在漏洞导致,因此打算将所有的wordpress网站存在的插件进行聚类查看可能性最大,但由于通用插件过多,方案作废。

因此从下载地址出发,查看VT查询结果,发现在7月6日疑似开始布局,文件名仍然为backdoorGood.txt

图片

发现当时列表的Wordpress站点数量高达5万5,而另一个10号的锐减到4万。

图片

这中间发生了什么,主要我随机挑了几个,发现也并没有发送那个helloworld推文,因此从列表锐减的速度  5万->4万->2万来判断,是失去权限了。


但在询问了某大佬后,他给出了下面的答复

图片

在进一步关联分析后,发现域名历史解析ip如下,前三乌拉圭后两欧洲。域名最早解析为5月21日,因此可以确定黑产团伙最早活动时间。

45.227.253.227

45.227.253.234

45.227.253.226

193.57.40.47

193.57.40.36

其中域名下有多个回连C2样本

图片

疑似均为linux僵尸网络木马

图片

并且僵尸网络的木马,都是从Wordpress站点中下载获得

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

http://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

https://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

https://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

https://tgm.tgmapartments.com/hack/f190Iw

http://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P


而且量很大,我就不一一贴上来了。

至此,一个保守拥有5万5台Wordpress上传恶意软件权限的,通过Wordpress下载linux僵尸网络黑产团伙,展示于此。

而由于僵尸网络木马仅简单分析一二,个人感觉和wordpress漏洞会有点关系,这里他访问的是8081端口(不知道有啥没访问成功)

图片

下面我将最初7月6号的列表上传至Github,但愿从中能帮助老大哥们。

one=5万5

two=4万

剩下的是2W2

僵尸网络样本我也传了一个上去,有兴趣也可以看看


图片

地址:

https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

如果有哪位大哥在下载列表,然后核查发现自己的站点不幸中招,自动发送了那段推文,请及时保存日志,联系公众号后台,将有专业人员进行核查,防止可能存在的插件漏洞被进一步扩散。

但愿其他老大哥可以通过这些线索发现到底是什么导致了这么大批Wordpress被入侵的问题的根源,防止威胁继续扩散。

解决方案:

1、更新最新版wordpress

虽然博主说最新版也出事了

图片

2、因此,要么关站,要么看戏吧。


IOC:VT自取


近期阅读

图片

▲点击图片

图片

吓得我赶紧点了个赞

263805万多个WordPress站点或被攻陷,背后疑似僵尸网络黑产团伙搞的鬼

root

这个人很懒,什么都没留下

文章评论