攻擊者正在使用 Eval PHP（一種過時的插件）通過注入隱蔽的后門來破壞網(wǎng)站。

Eval PHP 是一個過時的插件網(wǎng)站制作，允許網(wǎng)站管理員將 PHP 代碼嵌入到他們網(wǎng)站的頁面和文章中，然后在瀏覽器中打開頁面時執(zhí)行該代碼。

該插件在過去十年沒有更新，默認情況下被認為已過時seo優(yōu)化，但仍可通過插件存儲庫下載。

根據(jù)網(wǎng)站安全騰云網(wǎng)絡的數(shù)據(jù)，2023 年 4 月，使用 Eval PHP 在頁面上嵌入惡意代碼的跡象激增，現(xiàn)在平均每天有 4,000 個惡意安裝插件。

與傳統(tǒng)的后門注入相比，這種方法的主要優(yōu)勢在于 Eval PHP 可以重新用于重新感染已清理的網(wǎng)站php 統(tǒng)計網(wǎng)頁訪問量代碼，并且相對隱蔽。

隱蔽的數(shù)據(jù)庫注入

過去幾周檢測到的 PHP 代碼注入為攻擊者提供了一個后門，使他們能夠在受感染的網(wǎng)站上遠程執(zhí)行代碼。

惡意代碼被注入目標網(wǎng)站的數(shù)據(jù)庫，特別是“”表。 這使得它更難被發(fā)現(xiàn)，因為它逃避了標準的網(wǎng)站安全措施，如文件完整性監(jiān)控、服務器端掃描等。

為此，攻擊者使用受感染或新創(chuàng)建的管理員帳戶來安裝 Eval PHP，從而允許他們使用 [] 簡碼將 PHP 代碼插入受感染網(wǎng)站的頁面。

代碼運行后，后門 (.php) 將放置在網(wǎng)站的根目錄下。 后門的名稱在不同的攻擊中可能會有所不同。

惡意 Eval PHP 插件安裝是由以下 IP 地址觸發(fā)的：

91.193.43.151

79.137.206.177

212.113.119.6

后門不使用 POST 請求進行 C2 通信來逃避檢測，而是通過沒有可見參數(shù)的 GET 請求傳遞數(shù)據(jù)。

強調(diào)需要移除舊的和未維護的插件，因為它們很容易被威脅行為者出于惡意目的濫用，并指出 Eval PHP 并不是唯一面臨風險的插件。

在插件存儲庫刪除插件之前php 統(tǒng)計網(wǎng)頁訪問量代碼，建議站點調(diào)整其管理面板，保持其安裝最新，并使用 Web 應用程序防火墻。