👌👌
这种垃圾页面攻击非常简单且非常常见,我们甚至专门写了一整本指南来教你如何有效地清除它。并非所有 WordPress 网站都以博客的形式运行,很多管理员用户甚至根本不会访问 wp-admin 的帖子部分。因此,当垃圾页面被发现时,帖子/页面的数量可能高达数万甚至数十万,如果不使用一些 SQL 命令,清除起来将会非常耗时。
通常这很简单,但在这个特殊情况下,我们发现一些垃圾页面,攻击者不遗余力地隐藏他们的黑帽 SEO。
定期分析
从受感染网站移除恶意软件时,必须同时扫描文件结构和数据库。垃圾页面感染可能存在于两者中,但由于数据库文本内容丰富,垃圾页面感染在数据库中尤为常见。我们定期检查数据库,查找诸如“伟哥”、“希爱力”、“在线赌场”和“论文写作”之类的垃圾页面词汇,在本例中,出现了许多可疑的在线赌场垃圾页面词汇。直接检查数据库,我们可以清楚地看到有问题的帖子/页面:
此外,垃圾页面非常容易被公开看到,因为我们可以看到它被搜索引擎索引:
这肯定对网站的SEO造成了负面影响,因为“在线赌场”这个词放在你的网站上对SEO不太友好。通常情况下,遇到这种情况,我们会直接进入wp-admin,把帖子扔进垃圾箱。这样,即使混入了任何合法的帖子,也可以轻松恢复(这种情况并不常见,但你还是要小心谨慎)。
然而,这些帖子却不见了踪影。当我们在 wp-admin 的帖子和页面部分搜索“赌场”等特定关键词时,也没有找到任何内容:
但我注意到了一些事情:通常,当您在仪表板上查询页面或帖子时,如果没有任何内容与您要搜索的内容匹配,则会返回“未找到任何页面”,如下所示:
可是怎么也找不到。它看起来像是被截断了。垃圾页面被什么东西藏起来了。
健全性检查
当你发现类似这样的怪异行为时,最好进行进一步调查。毕竟,技术支持的首要原则是“信任,但要核实”。
我测试了是否可以在 wp-admin 本身内加载任何垃圾页面页面,而不仅仅是查看数据库管理器中的行和列。
在 WordPress 中,所有页面和帖子都存储在wp_posts表中,每个页面/帖子都有一个对应的标识号。我们在编辑内容时可以在浏览器的 URL 栏中看到它,在下面的示例中,帖子的 ID 是1234:
http://example.com/wp-admin/post.php?post=1234&action=edit
由于每个页面/帖子 ID 在数据库管理器中都是可见的,因此只需复制它并手动将其放入 URL 栏中就足够了,从而迫使自己进入垃圾页面的页面编辑器,即使它们不能直接从 wp-admin 中看到。
果然,我发现自己正在看一些经典的在线赌场垃圾页面:
有趣的是,我还发现了一个垃圾页面,上面宣传一款名为 Farming Simulator 17 的游戏:
这很有意思,不仅因为我不记得见过任何关于农场模拟游戏的垃圾评论,还因为根据 Steam 的数据,这款游戏发布于 2016 年 10 月(差不多十年前),而且这个系列还有不少更新的版本(最新的是去年发布的 25 款)。我百思不得其解,为什么有人会在一个被黑的 WordPress 网站上推广这款游戏,不过跑题了。
隐藏方法
在检查核心文件、最近修改的主题文件或其他可疑注入是否存在任何差异后,我将注意力转向插件,这是攻击者篡改 WordPress 网站最喜欢的方法之一。
果然,我们发现两个罪犯正在联手掩盖垃圾页面,并且自然而然地确保攻击者能够继续拥有管理员访问权限:
原文始发于微信公众号(OSINT研习社):【灰产技术分析】wordpress 权限后门+页面隐匿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论