攻擊者正在使用 Eval PHP（一種過時(shí)的插件）通過注入隱蔽的后門來破壞網(wǎng)站。

Eval PHP 是一個(gè)過時(shí)的插件網(wǎng)站制作，允許網(wǎng)站管理員將 PHP 代碼嵌入到他們網(wǎng)站的頁面和文章中，然后在瀏覽器中打開頁面時(shí)執(zhí)行該代碼。

該插件在過去十年沒有更新，默認(rèn)情況下被認(rèn)為已過時(shí)seo優(yōu)化，但仍可通過插件存儲(chǔ)庫下載。

根據(jù)網(wǎng)站安全騰云網(wǎng)絡(luò)的數(shù)據(jù)，2023 年 4 月，使用 Eval PHP 在頁面上嵌入惡意代碼的跡象激增，現(xiàn)在平均每天有 4,000 個(gè)惡意安裝插件。

與傳統(tǒng)的后門注入相比，這種方法的主要優(yōu)勢(shì)在于 Eval PHP 可以重新用于重新感染已清理的網(wǎng)站php 統(tǒng)計(jì)網(wǎng)頁訪問量代碼，并且相對(duì)隱蔽。

隱蔽的數(shù)據(jù)庫注入

過去幾周檢測(cè)到的 PHP 代碼注入為攻擊者提供了一個(gè)后門，使他們能夠在受感染的網(wǎng)站上遠(yuǎn)程執(zhí)行代碼。

惡意代碼被注入目標(biāo)網(wǎng)站的數(shù)據(jù)庫，特別是“”表。 這使得它更難被發(fā)現(xiàn)，因?yàn)樗颖芰藰?biāo)準(zhǔn)的網(wǎng)站安全措施，如文件完整性監(jiān)控、服務(wù)器端掃描等。

為此，攻擊者使用受感染或新創(chuàng)建的管理員帳戶來安裝 Eval PHP，從而允許他們使用 [] 簡碼將 PHP 代碼插入受感染網(wǎng)站的頁面。

代碼運(yùn)行后，后門 (.php) 將放置在網(wǎng)站的根目錄下。 后門的名稱在不同的攻擊中可能會(huì)有所不同。

惡意 Eval PHP 插件安裝是由以下 IP 地址觸發(fā)的：

91.193.43.151

79.137.206.177

212.113.119.6

后門不使用 POST 請(qǐng)求進(jìn)行 C2 通信來逃避檢測(cè)，而是通過沒有可見參數(shù)的 GET 請(qǐng)求傳遞數(shù)據(jù)。

強(qiáng)調(diào)需要移除舊的和未維護(hù)的插件，因?yàn)樗鼈兒苋菀妆煌{行為者出于惡意目的濫用，并指出 Eval PHP 并不是唯一面臨風(fēng)險(xiǎn)的插件。

在插件存儲(chǔ)庫刪除插件之前php 統(tǒng)計(jì)網(wǎng)頁訪問量代碼，建議站點(diǎn)調(diào)整其管理面板，保持其安裝最新，并使用 Web 應(yīng)用程序防火墻。