攻击者利用废弃的WordPress插件，对网站进行后门攻击

攻击者正在使用Eval PHP ，攻击攻击一个过时的用废WordPress插件
，通过注入隐蔽的对进行后门来破坏网站。

Eval PHP是网站一个废弃的WordPress插件 ，它允许网站管理员在WordPress网站的后门页面和文章中嵌入PHP代码，然后在浏览器中打开页面时执行该代码 。攻击攻击

该插件在过去十年中没有更新，用废被默认为是高防服务器对进行废弃软件，但它仍然可以通过WordPress的网站插件库下载。

据网站安全公司Sucuri称，后门使用Eval PHP在WordPress页面上嵌入恶意代码的攻击攻击迹象在2023年4月激增 ，现在WordPress插件平均每天有4000个恶意安装。用废

与传统的对进行后门注入相比 ，这种方法的网站主要优点是
，建站模板Eval PHP可以被重新使用 ，后门以重新感染被清理过的网站 ，而且相对隐蔽 。

隐蔽的数据库注入

在过去几周检测到的PHP代码注入为攻击者提供了一个后门，使攻击者对被攻击的网站具有远程代码执行能力 。

恶意代码被注入到目标网站的数据库中 ，特别是亿华云 "wp_posts "表中。这使得它更难被发现，因为它逃避了标准的网站安全措施，如文件完整性监控 、服务器端扫描等 。

为了做到这一点 ，攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP ，允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。模板下载

一旦代码运行  ，则将后门（3e9c0ca6bbe9.php）放置在网站根部
。后门的名称在不同的攻击中可能有所不同。

恶意的Eval PHP插件安装是由以下IP地址触发的 ：

91.193.43.15179.137.206.177212.113.119.6

该后门不使用POST请求进行C2通信以逃避检测 ，相反，它通过cookies和GET请求传递数据  ，没有可见参数。服务器租用

Sucuri强调有必要将旧的和未维护的插件除名，因为威胁者很容易滥用这些插件来达到恶意目的 ，并指出Eval PHP并不是唯一有风险的插件 。

在WordPress插件库删除该插件之前
，建议网站调整他们的管理面板，保持他们的云计算WordPress安装是最新版本，并使用Web应用防火墙。