W3 Total Cache 和 WP Super Cache 高危漏洞

3

今天发现博客有一条垃圾评论,内容很奇怪

评论内容结构是这样的

<!--mfunc eval(base64加密串); --><!--/mfunc-->

解密base64之后发现恶意代码通过fopen fwrite fclosedirname($_SERVER['SCRIPT_FILENAME']) . '/' . 'wp-includes/etelan.php';写入了另一串base64加密的执行命令,显而易见写入的肯定是BackDoor之类的内容

谷歌之后知道mfuncW3 Total Cache/WP Super Cache插件提供的可以在正文内容执行PHP命令的标签,那么这个恶意代码就是针对W3 Total Cache/WP Super Cache插件的,入侵者肯定是批量发送垃圾留言,然后再检测wp-includes/etelan.php返回是404还是200,如果执行成功将直接获取WebShell进而达到控制服务器的目的.

这时SAE的优势就明显显示出来了,因为SAE本身没有I/O权限,所以不可能成功执行写入文件的操作,据目前了解的情况来看最新版的W3 Total Cache/WP Super Cache已经修补了这个漏洞,但是既然有人依然在群发就说明仍然可以获取到新的WebShell.

攻击针对目标

1.Wordpress有写权限(除了非常特殊的空间一般都有)
2.W3 Total Cache/WP Super Cache插件不是最新版

如果你符合以上两点,马上去升级插件,并检查评论中是否有如上恶意代码,如果已经不幸中招,建议参考Wordpress迁移的教程,清空所有文件重新安装.

共 3 条评论

  1. 回复

    同学你好帅~

  2. 回复

    用的是Hyper Cache
    不知道会不会有恶意代码

    • 回复

      Hyper Cache没有影响

发表评论

您的邮箱不会公开,当您的评论有新的回复时,会通过您填写的邮箱向您发送评论内容。 必填字段 *

为何看不到我发布的评论?

正在提交, 请稍候...