Pharma Hack 到底是什么? WordPress Pharma Hack 是一種垃圾郵件注入方法。它非常微妙——您可以將其視為一種寄生蟲,它以網(wǎng)站上排名最高的頁面為食,旨在獲得有價(jià)值的鏈接。現(xiàn)在,讓北京六翼開源的開發(fā)工程師給大家介紹一下 WordPress Pharma Hack攻擊期間發(fā)生的實(shí)際情況。
如何判斷您的 WordPress 網(wǎng)站是否被 Pharma Hack 感染?
1. Pharma Hack的脆弱性
要實(shí)施此類黑客攻擊,黑客必須首先利用已知漏洞或零日攻擊。
一些最常見的漏洞包括:
XSS的SQL 注入。發(fā)生這些情況是因?yàn)橹黝}或您運(yùn)行的插件中的軟件編碼標(biāo)準(zhǔn)不佳。有時(shí),這些問題甚至發(fā)生在WordPress 核心軟件中。始終保持您在 WordPress 上運(yùn)行的軟件完全最新,包括您的插件和主題。
弱 FTP 和帳戶密碼。如果您是 WordPress 網(wǎng)站所有者,強(qiáng)密碼絕對必不可少。這適用于各種規(guī)模的網(wǎng)站。由于登錄憑據(jù)薄弱,甚至 Linux Gen 得 GitHub 存儲庫最近也遭到黑客攻擊。
啟用錯誤顯示和內(nèi)容列表。因此,Internet 上的任何人都可以公開讀取您站點(diǎn)的重要文件。
2. Pharma Hack的持久性
WordPress pharma hack 通過更改您的根目錄的內(nèi)容而成功。大多數(shù)垃圾郵件攻擊將通過您的/includes或/misc 文件夾發(fā)生。
垃圾郵件發(fā)送者將使用以下方法獲得持久性或延長訪問權(quán)限:
- 添加新頁面,如leftpanelsin.php、cache.php等。
- 修改index.php、wp-page.php、nav.php等PHP 文件
- 將垃圾郵件文件隱藏在/images文件夾中。網(wǎng)絡(luò)爬蟲不希望在這里看到文件,這可以防止它們被檢測到。
- 使用 base64 編碼混淆代碼
- 編輯xmlrpc.php以避免被網(wǎng)站管理員檢測
- 使用 cron 作業(yè)重新感染
- 偽裝:根據(jù)用戶代理區(qū)分網(wǎng)絡(luò)爬蟲。結(jié)果是 Googlebot 看到的內(nèi)容與 Mozilla 用戶看到的內(nèi)容不同。
- 在文件擴(kuò)展名前附加點(diǎn)。因此,將頁面重命名為.otherfile以使其不可見。
3. Pharma Hack的結(jié)果
作為 WordPress 網(wǎng)站所有者,當(dāng)黑客在您的網(wǎng)站上成功入侵制藥公司時(shí),您會發(fā)生什么?
- 您的網(wǎng)站將失去其良好聲譽(yù),因?yàn)樗F(xiàn)在將顯示 Cialis 和 Viagra 廣告。
- 您可能會被 Google 列入黑名單,這意味著您將很難重新獲得網(wǎng)站的聲譽(yù)。
- 用戶將不再信任您的網(wǎng)站并且不會返回。
- 搜索引擎排名將直線下降。
- 您的網(wǎng)站將產(chǎn)生對其他網(wǎng)站的點(diǎn)擊。您辛勤工作獲得的相同點(diǎn)擊次數(shù)將流向其他地方。
顯然,所有這些結(jié)果都不利于您的網(wǎng)站和您的業(yè)務(wù)。
Pharma Hack 的代碼隱藏在哪里?
與大多數(shù) WordPress 黑客一樣,Pharma 黑客正在使用您的網(wǎng)站核心、插件和主題文件來存儲其惡意軟件。在這種情況下,Pharma Hack 也使用數(shù)據(jù)庫來保持持久性。
通過 WordPress 默認(rèn)目錄(核心、插件、主題)中的惡意文件
惡意文件必須放在您的 WordPress 目錄中。它們通常包含諸如base64_decode()和eval()等函數(shù)。從這個(gè)意義上說,Pharma Hack 與任何其他 hack 沒有什么不同。
通過WordPress數(shù)據(jù)庫中的加密代碼
不同的是,使用 Pharma Hack,這些函數(shù)以字符串的形式存儲在數(shù)據(jù)庫中并反向編碼,從而使其更難查找和消除。當(dāng) hack 文件運(yùn)行時(shí),它會從數(shù)據(jù)庫中提取字符串,對它們進(jìn)行解碼并將它們作為函數(shù)運(yùn)行。
