5万多个WordPress站点或被攻陷,背后疑似僵尸网络黑产团伙搞的鬼

xiannv  1934天前

近日,一篇来自v2ex的文章被多名博主转发,其称其下站点莫名多了不知名状态的helloworld文章,内容为“Welcome to wiki This is your first post. Edit or delete it, then start blogging!”,因此怀疑被挂马,并对此进行核实,发现了一个记录几万个被攻破网站的信息的站点。

1.jpg

▲原文链接:https://www.v2ex.com/amp/t/588483

为求实,我搜索后,发现确实有许多含有该句子的文章

2.jpg

随意打开其中一个站点,发现连续发送了6条(第二页还有),并且时间均为7月末,与v2ex博主描述一致,具有明显的自动化发送特征。

3.jpg

4.jpg

紧接着,通过获取博主提供的全是后门的txt,下载后发现,数量锐减到2万条,与博主所说的3万5并不符合

4.jpg

由于目前网上同行大多认为是插件存在漏洞导致,因此打算将所有的wordpress网站存在的插件进行聚类查看可能性最大,但由于通用插件过多,方案作废。

因此从下载地址出发,查看VT查询结果,发现在7月6日疑似开始布局,文件名仍然为backdoorGood.txt

5.jpg

发现当时列表的Wordpress站点数量高达5万5,而另一个10号的锐减到4万。

6.jpg

这中间发生了什么,主要我随机挑了几个,发现也并没有发送那个helloworld推文,因此从列表锐减的速度  5万->4万->2万来判断,是失去权限了。


但在询问了某大佬后,他给出了下面的答复


7.jpg

在进一步关联分析后,发现域名历史解析ip如下,前三乌拉圭后两欧洲。域名最早解析为5月21日,因此可以确定黑产团伙最早活动时间。

45.227.253.227

45.227.253.234

45.227.253.226

193.57.40.47

193.57.40.36

其中域名下有多个回连C2样本

8.jpg

疑似均为linux僵尸网络木马

9.jpg

并且僵尸网络的木马,都是从Wordpress站点中下载获得

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

http://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

https://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

https://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

https://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

https://tgm.tgmapartments.com/hack/f190Iw

http://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P


而且量很大,我就不一一贴上来了。

至此,一个保守拥有5万5台Wordpress上传恶意软件权限的,通过Wordpress下载linux僵尸网络黑产团伙,展示于此。

而由于僵尸网络木马仅简单分析一二,个人感觉和wordpress漏洞会有点关系,这里他访问的是8081端口(不知道有啥没访问成功)

10.jpg

下面我将最初7月6号的列表上传至Github,但愿从中能帮助老大哥们。

one=5万5

two=4万

剩下的是2W2

僵尸网络样本我也传了一个上去,有兴趣也可以看看

11.jpg


地址:

https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

如果有哪位大哥在下载列表,然后核查发现自己的站点不幸中招,自动发送了那段推文,请及时保存日志,联系公众号后台,将有专业人员进行核查,防止可能存在的插件漏洞被进一步扩散。

但愿其他老大哥可以通过这些线索发现到底是什么导致了这么大批Wordpress被入侵的问题的根源,防止威胁继续扩散。

解决方案:

1、更新最新版wordpress

虽然博主说最新版也出事了

12.jpg

2、因此,要么关站,要么看戏吧。


在原作者这篇文章发出之后,有国外研究人员表示此次事件不涉及0day。

微信图片_20190807122513.jpg


◆来源:黑鸟

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论