Sucuri的安全研究人員檢測到攻擊者利用Wordpress插件的漏洞進行攻擊活動。該攻擊活動中有超過2000個WordPress網站被黑，并重定向受害者到含有瀏覽器通知訂閱、假的問卷調研和假的Adobe Flash下載活動的垃圾郵件站點。

JS注入

該漏洞被利用后，攻擊者可以注入JS腳本到站點的主體，JS腳本可以從admarketlocation[.]com和 gotosecond2[.]com加載的腳本，如下圖所示：

受害者訪問被黑的站點時，注入的腳本就會在后臺嘗試訪問/wp-admin/options-general.php 和 /wp-admin/theme-editor.php管理URL以進一步注入腳本或修改wordpress設置來重定向訪問者。

注入腳本來入侵站點

這些URL需要管理員訪問，所有只有當管理員訪問站點時才可以成功。其他身份的用戶訪問時就會加載不同的垃圾郵件頁面。

BleepingComputer研究人員在測試過程中發現會被重定向到一些垃圾站點，這些站點會告知用戶需要訂閱瀏覽器通知才能進行下一步。

用戶點擊Allow按鈕訂閱通知后，就會被重定向到其他垃圾站點，比如假的問卷調研、技術支持郵件和假的Adobe Flash Player更新。

條件檢查和混淆技術

除了注入JS外，Sucuri研究人員還發現攻擊者創建了偽造的插件目錄來上傳其他惡意軟件到被黑的站點。

攻擊者創建了一個名為ijmjg的變量，并使用函數String.fromCharCode()來以UTF-16格式隱藏惡意重定向URL，而不是常見的ASCII碼字符。攻擊者還使用/* */來添加注釋，作為一種繞過技術來隱藏混淆，所以其他人無法輕易搜索文本字符串的文件。

函數checkone() 負責檢查加載payload的訪問者是否有“_logged_in” cookie，是否請求了/wp-admin URL中的payload。如果這些條件都滿足，JS函數location.replace就會重定向訪問者到ijmjg變量中保存的惡意重定向URL。研究人員預測該變量會在未來的惡意軟件變種中發生變化。

研究人員還發現攻擊者創建了一個偽造的插件目錄，其中含有下一步的惡意軟件，也濫用了/wp-admin/上傳zip壓縮文件的特征，即使用/wp-admin/includes/plugin-install.php文件來執行上傳操作，并解壓壓縮的偽造插件到/wp-content/plugins/。

研究人員發現最常見的兩個偽造插件目錄是/wp-content/plugins/supersociall/supersociall.php和/wp-content/plugins/blockspluginn/blockspluginn.php。

本文參考自：https://www.bleepingcomputer.com/news/security/thousands-of-wordpress-sites-hacked-to-fuel-scam-campaign/

總結

以上是生活随笔為你收集整理的wordpress漏洞_WordPress站点恶意JS注入漏洞分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。