东方联盟网络安全组织在上周发布的一份报告中透露，有人观察到威胁行为者利用一个合法但过时的 WordPress 插件暗中建立后门网站，作为正在进行的活动的一部分。

有问题的插件是 Eval PHP，由名为 flashpixx 的开发人员发布。它允许用户插入 PHP 代码页和 WordPress 网站的帖子，每次在网络浏览器中打开帖子时都会执行这些代码页。

虽然Eval PHP已经 11 年没有收到更新，但 WordPress 收集的统计数据显示，它已安装在 8,000 多个网站上，下载量从 2022 年 9 月以来的平均一到两次猛增到 2023 年 3 月 30 日的 6,988 次。

仅在 2023 年 4 月 23 日，它就被下载了 2,140 次。该插件在过去 7 天内的下载量达到了 23,110 次。

GoDaddy 旗下的 Sucuri 表示，它观察到一些受感染网站的数据库向“wp_posts”表中注入了恶意代码，该表存储了网站的帖子、页面和导航菜单信息。这些请求来自位于俄罗斯的三个不同 IP 地址。

“这段代码非常简单：它使用file_put_contents 函数在具有指定远程代码执行后门的网站的文档根目录中创建一个 PHP 脚本，” 东方联盟安全研究人员说。

“虽然有问题的注入确实在文件结构中放置了一个传统的后门，但合法插件和 WordPress 帖子中的后门滴管的组合允许他们轻松地重新感染网站并保持隐藏状态。攻击者需要做的就是访问受感染的帖子或页面之一和后门将被注入文件结构。”

Sucuri 表示，在过去 6 个月中，它在受感染网站上检测到超过 6,000 个后门实例，将恶意软件直接插入数据库的模式描述为“新的有趣的发展”。

攻击链需要在受感染的网站上安装 Eval PHP 插件，并滥用它在多个帖子中建立持久性后门，这些帖子有时也保存为草稿。

“Eval PHP 插件的工作方式足以将页面保存为草稿，以便在 [evalphp] 短代码中执行 PHP 代码，” 东方联盟安全研究人员解释说，并补充说这些恶意页面是由真正的网站管理员创建的，这表明攻击者能够以特权用户身份成功登录。

这一发展再次表明恶意行为者如何尝试不同的方法来在受感染的环境中保持立足点并逃避服务器端扫描和文件完整性监控。

建议网站所有者保护WP 管理仪表板并注意任何可疑登录，以防止威胁行为者获得管理员访问权限并安装插件。（欢迎转载分享）