作者:田民 赤莺
wordpress是國内站長非常喜歡采用的一款建站應用軟體,由于其具有非常豐富的模版和插件,具有良好的可擴充性。特别對于部落格類網站,wordpress幾乎成為建站首選。
在阿裡雲安全團隊的日常營運中,我們發現,wordpress一直是黑客攻擊的主要目标。下圖是阿裡雲雲盾安全營運團隊對第三方應用遭受攻擊的統計(source:第27期阿裡雲雲盾安全營運報告,http://security.aliyun.com/doc/view/13762631.html):
圖1 wordpress是攻擊者最主要的攻擊目标之一
從上圖來看,wordpress是攻擊者最主要的攻擊目标應用之一。這很大程度上在于wordpress應用在建站中的大量采用,以及不斷暴露出來的安全隐患。
wordpress存在安全隐患的原因主要在于兩個方面:一方面由于應用功能的豐富,程式越來越複雜,wordpress屢暴漏洞在所難免;另一方面提供wordpress主題和插件下載下傳的網站五花八門、魚龍混雜。很多黑客恰恰利用了這個現狀,通過各種提供wordpress建站資源下載下傳的網站散布帶有惡意腳本的插件。事實上,上述兩方面原因中後者的安全隐患更大。對于一個渴望找到建站資源的網站站長,在下載下傳插件程式時,往往疏于防護,對提供下載下傳資源的來源網站不加選擇。
雲盾安全技術團隊在不久前截獲了一個帶有後門的wordpress程式。這個後門程式存在于wordpress一個叫做“knowhow”的主題插件中。在這個插件裡,我們發現如下代碼:
圖2: wordpress主題程式中的後門
紅圈内的代碼,很顯然,就是後門。攻擊者利用這個後門可以進一步獲得網站的控制權。
經過雲盾安全技術人員進一步調查,knowhow是一款非常流行的wordpress主題。kowhow主題是收費的,價格為48美金。為了明确問題的根源,技術人員決定從确定被植入後門的程式來源入手。
我們聯系了使用者。和使用者溝通後證明,該使用者并非購買的正版主題,而是從國内某偏僻站點下載下傳。與此同時,我們從官方管道下載下傳了一份同版本的主題程式,兩者進行了比較。結果證明官方版本中并沒有相對應的後門代碼。是以,使用者下載下傳的程式顯然是被人惡意修改後釋出的版本。
我們并沒有到此止步。雲盾安全技術人員接下來經過搜尋和對比, 發現大量國内此主題的下載下傳檔案中被人嵌入了類似的後門。
在明确了後門問題的原因後,雲盾安全營運團隊立刻對阿裡雲全網使用者進行了掃描,并在第一時間通知了存在類似安全隐患的阿裡雲使用者。
最後,對于wordpress knowhow主題後門,阿裡雲雲盾安全營運團隊提出如下建議:
第一,請已下載下傳并安裝knowhow主題的站長盡快檢查自己的網站伺服器,找到 /wp-content/themes/knowhow/functions.php檔案,對比上文檢查是否存在惡意代碼。後門特征一般含有eval字元;
第二,從官方或具有良好信譽的網站下載下傳插件,不要随意下載下傳/添加不明站點的代碼;
第三,請購買正版軟體。