EvalPHP过时的插件注入隐蔽的后门破坏网站
2023-04-23
攻击者正在使用 Eval PHP(一种过时的插件)通过注入隐蔽的后门来破坏网站。
Eval PHP 是一个过时的插件网站制作,允许网站管理员将 PHP 代码嵌入到他们网站的页面和文章中,然后在浏览器中打开页面时执行该代码。
该插件在过去十年没有更新,默认情况下被认为已过时seo优化,但仍可通过插件存储库下载。
根据网站安全腾云网络的数据,2023 年 4 月,使用 Eval PHP 在页面上嵌入恶意代码的迹象激增,现在平均每天有 4,000 个恶意安装插件。
与传统的后门注入相比,这种方法的主要优势在于 Eval PHP 可以重新用于重新感染已清理的网站php 统计网页访问量代码,并且相对隐蔽。
隐蔽的数据库注入
过去几周检测到的 PHP 代码注入为攻击者提供了一个后门,使他们能够在受感染的网站上远程执行代码。
恶意代码被注入目标网站的数据库,特别是“”表。 这使得它更难被发现,因为它逃避了标准的网站安全措施,如文件完整性监控、服务器端扫描等。
为此,攻击者使用受感染或新创建的管理员帐户来安装 Eval PHP,从而允许他们使用 [] 简码将 PHP 代码插入受感染网站的页面。
代码运行后,后门 (.php) 将放置在网站的根目录下。 后门的名称在不同的攻击中可能会有所不同。
恶意 Eval PHP 插件安装是由以下 IP 地址触发的:
91.193.43.151
79.137.206.177
212.113.119.6
后门不使用 POST 请求进行 C2 通信来逃避检测,而是通过没有可见参数的 GET 请求传递数据。
强调需要移除旧的和未维护的插件,因为它们很容易被威胁行为者出于恶意目的滥用,并指出 Eval PHP 并不是唯一面临风险的插件。
在插件存储库删除插件之前php 统计网页访问量代码,建议站点调整其管理面板,保持其安装最新,并使用 Web 应用程序防火墙。
