5万多个WordPress站点或被攻陷，背后疑似僵尸网络黑产团伙搞的鬼

近日，一篇来自v2ex的文章被多名博主转发，其称其下站点莫名多了不知名状态的helloworld文章，内容为“Welcome to wiki This is your first post. Edit or delete it, then start blogging!”，因此怀疑被挂马，并对此进行核实，发现了一个记录几万个被攻破网站的信息的站点。

▲原文链接：https://www.v2ex.com/amp/t/588483

为求实，我搜索后，发现确实有许多含有该句子的文章

随意打开其中一个站点，发现连续发送了6条（第二页还有），并且时间均为7月末，与v2ex博主描述一致，具有明显的自动化发送特征。

紧接着，通过获取博主提供的全是后门的txt，下载后发现，数量锐减到2万条，与博主所说的3万5并不符合

由于目前网上同行大多认为是插件存在漏洞导致，因此打算将所有的wordpress网站存在的插件进行聚类查看可能性最大，但由于通用插件过多，方案作废。

因此从下载地址出发，查看VT查询结果，发现在7月6日疑似开始布局，文件名仍然为backdoorGood.txt

发现当时列表的Wordpress站点数量高达5万5，而另一个10号的锐减到4万。

这中间发生了什么，主要我随机挑了几个，发现也并没有发送那个helloworld推文，因此从列表锐减的速度  5万->4万->2万来判断，是失去权限了。

但在询问了某大佬后，他给出了下面的答复

在进一步关联分析后，发现域名历史解析ip如下，前三乌拉圭后两欧洲。域名最早解析为5月21日，因此可以确定黑产团伙最早活动时间。

45.227.253.227

45.227.253.234

45.227.253.226

193.57.40.47

193.57.40.36

其中域名下有多个回连C2样本

疑似均为linux僵尸网络木马

并且僵尸网络的木马，都是从Wordpress站点中下载获得

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

http://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

https://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

https://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

https://tgm.tgmapartments.com/hack/f190Iw

http://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P

而且量很大，我就不一一贴上来了。

至此，一个保守拥有5万5台Wordpress上传恶意软件权限的，通过Wordpress下载linux僵尸网络黑产团伙，展示于此。

而由于僵尸网络木马仅简单分析一二，个人感觉和wordpress漏洞会有点关系，这里他访问的是8081端口(不知道有啥没访问成功)

下面我将最初7月6号的列表上传至Github，但愿从中能帮助老大哥们。

one=5万5

two=4万

剩下的是2W2

僵尸网络样本我也传了一个上去，有兴趣也可以看看

地址：

https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

如果有哪位大哥在下载列表，然后核查发现自己的站点不幸中招，自动发送了那段推文，请及时保存日志，联系公众号后台，将有专业人员进行核查，防止可能存在的插件漏洞被进一步扩散。

但愿其他老大哥可以通过这些线索发现到底是什么导致了这么大批Wordpress被入侵的问题的根源，防止威胁继续扩散。

解决方案：

1、更新最新版wordpress

虽然博主说最新版也出事了

2、因此，要么关站，要么看戏吧。。

在原作者这篇文章发出之后，有国外研究人员表示此次事件不涉及0day。

◆来源：黑鸟

◆本文版权归原作者所有，如有侵权请联系我们及时删除