数百万WordPress网站受“Balada Injector”恶意活动影响

关键要点

• 近六年来，约有一百万个WordPress网站受到“Balada Injector”恶意活动的影响。
• 攻击者利用已知的主题和插件漏洞，注入Linux后门以获取网站敏感信息。
• 自2017年以来，该活动在Sucuri检测的感染中持续排名前三，并定期发动攻击。
• 攻击者使用新注册的域名，通过多种攻击方法进行持续侵害，包括数据库注入和HTML注入。
• 恶意脚本旨在窃取数据库凭证，以便未来持续访问被攻击的网站。

自2017年以来，“BaladaInjector”恶意活动已感染了大约一百万个WordPress网站。根据网络安全公司Sucuri的研究，该活动利用“所有已知和最近发现的主题和插件漏洞”，在WordPress网站上注入Linux后门。这种方法允许攻击者以不同级别访问受影响的网站，并获取重要信息。

恶意活动的范围和影响

该活动自始至今每几周就会发起一次新的攻击浪潮，使用新注册的域名和之前使用过的恶意软件变种。Sucuri最近观察到的攻击浪潮之一，利用了WordPress的ElementorPro插件中的一个高严重性漏洞，该插件在全球有1100万网站使用。

GoDaddy的高级恶意软件研究员DenisSinegubko表示，这一活动的识别标志包括对String.fromCharCode混淆的偏好、新注册域名上托管的恶意脚本，以及各种骗局网站的重定向，诸如虚假技术支持、伪中奖信息和推送通知骗局。

事件 | 时间
—|—
攻击检测次数 | 141,000+
加入的域名数量 | 超过100个
不同攻击方式 | 如站点 URL 骇客、HTML 注入、数据库注入等

在过去一年里，“Balada Injector”迅速发展并使用了超过一百个不同的域名，利用多种攻击方法，包括站点 URL 攻击、HTML注入、数据库注入等，往往在同一网站上发生多次感染。Sinegubko给出的一个例子显示，Sucuri发现某个页面曾被11个不同的恶意Balada脚本攻击了311次。

正如Sinegubko所指出的，BaladaInjector一直在快速添加新漏洞（有时甚至是未公开的0-day漏洞），在漏洞披露后的几小时内便发起大规模的感染浪潮。而较旧的漏洞并没有被立即放弃，部分漏洞在补丁发布后仍被长期利用。

感染后的活动

Balada脚本的目标是窃取wp-
config.php文件中的数据库凭证，这可能在网站所有者修补先前的漏洞并移除后门文件后，依然允许继续访问网站。为了逃避检测，攻击者经常更改目标文件列表，添加“新元素”，同时删除“表现不佳的文件”。

Sinegubko解释道：“如果网站尚未被攻陷，他们会使用各种技巧获取wp-
config.php文件的内容；如果网站已经被攻陷，则会读取该文件以保存凭证供未来使用。”

此外，该恶意活动还尝试获取任意站点文件的访问权限，包括备份档案、数据库、访问日志等，并寻找像Adminer和phpMyAdmin这样的工具。最终，这些恶意软件导致生成假冒的WordPress管理员用户，窃取底层主机的数据，并留下后门以便未来的持续访问。