假如你怀疑你的网站基本被破坏，这些是你应该寻觅的新的破坏指标。

除了恶意软件活动本身的演变之外，我们在过去的3周里试图确定这些网站是怎么被入侵的。我们调查的网站越多，我们发觉所使用的插件和主题就越多样化。

在过去的3周里，我们向来在跟踪一具恶意软件活动，该活动用VisitorTracker恶意软件代码危害了数千个WordPress网站。

假如您了解javascript，您能够看到它正在创建另一具远程调用，以从受损站点内的watch.php文件加载内容。该文件操纵了将使用的核登录页。它还被用来对特定的IP地址和用户躲藏恶意软件，使其难以被检测。

这特别正常，DDoS防御，也是恶意软件作者使用的一种常见技术。这算是代码的模样：

恶意代码开始时很简单。它将修改站点的页眉和页足，并添加一具javascript，将访咨询者重定向到一具核攻击工具包登录页面。这些登录页尝试了各种可用的扫瞄器漏洞攻击，以感染毫无戒心的访咨询者的计算机。

假如您是WordPress用户，请确保更新所有插件，包括高档的。我还建议经过我们的免费安全/恶意软件扫描程序（SiteCheck）检查您的站点，以验证您当前是否受到此活动的阻碍。假如您是系统治理员同时有权访咨询您的服务器，您能够使用以下命令（grep）在您的文件中搜索感染：

如上图所示，它开始的规模相对较小，大约在10天前达到峰值，再次减速，并在过去3天内获得了特别大的牵引力。

PHP代码也被修改，但仍使用页眉/页足文件。他们添加了一具简单的base64混淆，如今看起来像如此：

此次活动背后的恶意软件集团实际上利用了一种WordPress漏洞工具包，他们尝试对目标举行多种攻击。此工具包利用的一些更常见的漏洞包括：

但它进化了…

GravityForms RCE加速联系表格7 RFITimThumb AFU（是的，DDoS防御，TimThumb仍然）邮差对治理员帐户的暴力攻击

我们能够确信地讲，没有一具插件或主题是此次活动中唯一被利用的受害者。

另一具缘由是我们将其归类为跨站点污染，即使用较小且不太重要的站点危害同一服务器/帐户内的其他较大站点。这种事情经常发生在共享环境中，其中一具被遗忘的调试或测试站点过时，DDoS防御，接着被用于大规模破坏服务器。

原始代码易于发觉和调试，所以最新的迭代要复杂得多。它包括多个编码层，最后来结果是将这段代码注入到站点上的每个javascript文件：

为了了解此次活动的规模，我们跟踪了过去3周内检测到的受损网站数量：

还有一些针对其他不太为人所知的漏洞的攻击。所有这些漏洞都有可用的补丁，但网站仍在运行易受阻碍的版本，导致这些危害增加。

我们最初在这篇博文中公布了一些对于那个咨询题的详细信息：WordPress恶意软件–Active VisitorTracker活动，但随着活动和恶意代码的进展，我们决定提供最新信息。

在过去3周内，我们检测到数千个站点被这种恶意软件破坏，CC防御，其中92%以上的站点正在使用WordPress。

一旦确定，我们建议您然后删除感染并寻找任何其他危害指标。假如您需要专业响应，我们的团队将随时提供关心。

当前位置：主页 > CC防火墙 > 国内高防cdn_淡云圆盾_免费测试