如何判断您的 WordPress 网站是否被 Pharma Hack 感染?

Pharma Hack 到底是什么? WordPress Pharma Hack 是一种垃圾邮件注入方法。它非常微妙——您可以将其视为一种寄生虫,它以网站上排名最高的页面为食,旨在获得有价值的链接。现在,让北京六翼开源的开发工程师给大家介绍一下 WordPress Pharma Hack攻击期间发生的实际情况。

如何判断您的 WordPress 网站是否被 Pharma Hack 感染?

WordPress heartbeat api 1024x537

1. Pharma Hack的脆弱性

要实施此类黑客攻击,黑客必须首先利用已知漏洞或零日攻击。

一些最常见的漏洞包括:

XSS的SQL 注入。发生这些情况是因为主题或您运行的插件中的软件编码标准不佳。有时,这些问题甚至发生在WordPress 核心软件中。始终保持您在 WordPress 上运行的软件完全最新,包括您的插件和主题。

弱 FTP 和帐户密码。如果您是 WordPress 网站所有者,强密码绝对必不可少。这适用于各种规模的网站。由于登录凭据薄弱,甚至 Linux Gen 得 GitHub 存储库最近也遭到黑客攻击。

启用错误显示和内容列表。因此,Internet 上的任何人都可以公开读取您站点的重要文件。

2. Pharma Hack的持久性

WordPress pharma hack 通过更改您的根目录的内容而成功。大多数垃圾邮件攻击将通过您的/includes或/misc 文件夹发生。

垃圾邮件发送者将使用以下方法获得持久性或延长访问权限:

  • 添加新页面,如leftpanelsin.php、cache.php等。
  • 修改index.php、wp-page.php、nav.php等PHP 文件
  • 将垃圾邮件文件隐藏在/images文件夹中。网络爬虫不希望在这里看到文件,这可以防止它们被检测到。
  • 使用 base64 编码混淆代码
  • 编辑xmlrpc.php以避免被网站管理员检测
  • 使用 cron 作业重新感染
  • 伪装:根据用户代理区分网络爬虫。结果是 Googlebot 看到的内容与 Mozilla 用户看到的内容不同。
  • 在文件扩展名前附加点。因此,将页面重命名为.otherfile以使其不可见。

3. Pharma Hack的结果

作为 WordPress 网站所有者,当黑客在您的网站上成功入侵制药公司时,您会发生什么?

  • 您的网站将失去其良好声誉,因为它现在将显示 Cialis 和 Viagra 广告。
  • 您可能会被 Google 列入黑名单,这意味着您将很难重新获得网站的声誉。
  • 用户将不再信任您的网站并且不会返回。
  • 搜索引擎排名将直线下降。
  • 您的网站将产生对其他网站的点击。您辛勤工作获得的相同点击次数将流向其他地方。

显然,所有这些结果都不利于您的网站和您的业务。

Pharma Hack 的代码隐藏在哪里?

与大多数 WordPress 黑客一样,Pharma 黑客正在使用您的网站核心、插件和主题文件来存储其恶意软件。在这种情况下,Pharma Hack 也使用数据库来保持持久性。

通过 WordPress 默认目录(核心、插件、主题)中的恶意文件

恶意文件必须放在您的 WordPress 目录中。它们通常包含诸如base64_decode()和eval()等函数。从这个意义上说,Pharma Hack 与任何其他 hack 没有什么不同。

通过WordPress数据库中的加密代码

不同的是,使用 Pharma Hack,这些函数以字符串的形式存储在数据库中并反向编码,从而使其更难查找和消除。当 hack 文件运行时,它会从数据库中提取字符串,对它们进行解码并将它们作为函数运行。