一款非官方WordPress插件被爆暗藏PHP后门

网络犯罪分子利用 WordPress插件源代码开发了一款“安全工具”，名为 “X-WP-SPAM-SHIELD-PRO”。你以为它真的是安全工具吗?答案是否定的，它实质上是一款恶意插件并隐藏了一个PHP后门。

这款插件显然试图利用名为“ WP-SpamShield Anti-Spam ” 的合法WordPress插件的声誉，这是一款很受欢迎的反垃圾邮件工具，用于自主托管的WordPress网站。

与WP-SpamShield Anti-Spam相反， X-WP-SPAM-SHIELD-PRO隐藏的PHP后门允许攻击者在网站上创建自己的管理员帐户，在受害者服务器上上传文件、禁用其他插件以及其他一些功能。

所有恶意功能分散在各个文件中，例如：

class-social-facebook.php – 表面上是充当社交媒体垃圾邮件的保护工具，但实际上其内部代码会将用户的插件列表发送给攻击者，并可选择禁用其他插件。禁用其他插件的原因是为了关闭任何以安全为导向的插件阻止访问登录功能或检测未经授权的登录者;

class-term-metabox-formatter.php – 会将用户的WordPress版本发送给攻击者;

class-admin-user-profile.php – 会将所有的WordPress管理员用户列表发送给攻击者;

plugin-header.php - 添加一个名为“mw01main”的附加管理用户;

wp-spam-shield-pro.php - ping位于mainwall.org的攻击者服务器，可以让攻击者知道用户何时安装了X-WP-SPAM-SHIELD-PRO。该文件发送的数据包括用户名、密码、受感染站点的URL地址和服务器IP地址。

X-WP-SPAM-SHIELD-PRO还允许攻击者在受害者站点上传ZIP文件，并会解压及运行这些文件。

在安全研究人员发现这款恶意插件的时候，其提供下载的ZIP文件已损坏。但研究人员认为攻击者正在部署着另一款受欢迎WordPress插件“All In One SEO Pack”的恶意版本。

据发现X-WP-SPAM-SHIELD-PRO的网络安全公司Sucuri表示，该插件从未在官方的WordPress插件库中被提供，但用户可以通过其他方式下载到它。

总的来说，值得庆幸的是该插件只被放置在一些非官方的网站上供用户下载。而这些网站的不安全性显然能引起用户的注意，这也是这款插件最失败的地方。

我们还是建议WordPress用户只能从官方插件库安装免费插件。虽然WordPress插件库及其管理员并非想象中的那么绝对“靠谱”，但社区通常会巡视其提供下载的插件，并通常会及时检测并通报大部分威胁。

本文来源于：一款非官方WordPress插件被爆暗藏PHP后门-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。