這是一次典型的「駭客被反殺」事件。一個專門攻擊 WordPress 與 Joomla 網站的犯罪團體,因為在管理伺服器時粗心大意,開啟了一個沒有密碼保護的 Python 簡單 HTTP 伺服器用來傳輸檔案,結果這個伺服器在網路上裸奔了 22 天。
這導致安全研究團隊 SOCRadar 與 Ctrl-Alt-Intel 意外發現了該團體的完整後台,包括攻擊工具、目標名單、操作日誌以及指令紀錄。這次外洩揭露了一個被命名為 WP-SHELLSTORM 的大規模攻擊行動。
了解 Webshell 存取代理模式
對於初入行的工程師來說,最需要理解的是這個團體的商業模式:Webshell Access Brokerage(Webshell 存取代理)。
他們並非為了單一目標進行精準攻擊,而是採取「量大出奇蹟」的策略。他們會利用自動化工具大規模掃描全網,尋找具有已知漏洞的網站,一旦成功入侵,就植入一個 Webshell(一種允許攻擊者遠端執行指令、讀取檔案或竊取密碼的後門腳本)。
這些被植入後門的網站權限會被打包成「商品」,轉賣給其他需要特定目標或資源的駭客。
攻擊流程與技術脈絡
WP-SHELLSTORM 的運作流程可以拆解為三個階段:
第一階段:目標獲取與掃描 他們使用 FOFA(一個類似 Shodan 的網路空間搜尋引擎)來獲取海量的目標清單。在這次事件中,他們準備了高達 140 萬個目標域名。接著,他們使用自動化掃描器,針對這些目標嘗試 27 種已知的插件漏洞。
第二階段:植入後門 一旦發現目標網站運行的是有漏洞的舊版本插件,他們會立即上傳後門。其中最有效的攻擊對象是 Breeze 快取插件(CVE-2026-3844),成功植入了超過 1.7 萬個後門。
第三階段:權限維持與隱匿 他們使用的主要後門 down.php 經過四層混淆處理(Obfuscation,指將程式碼改寫成難以閱讀的形式以規避偵測),基於開源的 BestShell 開發。此外,他們還使用了 VShell 這種隱匿性極強的工具,將其進程名稱偽裝成 [kworker/0:2],讓管理員在查看 Linux 系統進程列表時,誤以為這只是正常的內核執行緒(Kernel Thread)。
從企業端到網站端的戰術轉移
值得注意的是,該團體的活動並非只有網站攻擊。日誌顯示他們在 5 月份曾針對企業級 Java 系統進行過一次低調的攻擊,利用 Nacos 設定伺服器的舊漏洞(CVE-2021-29441)繞過登入。
這次行動獲取了 11 個系統的設定檔,包含 AWS、Alibaba Cloud 等雲端金鑰以及資料庫密碼。分析認為,他們先透過攻擊高價值企業獲取資金,隨後才擴大規模進行低成本的 WordPress 自動化掃描,將其作為獲利手段。
實務上的防禦與檢查清單
這次事件提醒我們,即使沒有 0-day 漏洞(尚未公開的漏洞),僅靠自動化掃描已知漏洞就足以造成大規模損害。
如果你負責維護 WordPress 或 Joomla 網站,請檢查以下項目:
更新關鍵插件 優先更新 Breeze (2.4.5+) 與 Joomla JCE editor (2.9.99.5+),這兩個是本次攻擊的主要突破口。
檢查可疑檔案 搜尋伺服器中是否存在符合 .bd.php、.wp-log.php 或 .brq-*.php 模式的檔案。
辨識偽裝進程 檢查系統中名為 [kworker/X:Y] 的進程。真正的內核執行緒在 /proc/<pid>/exe 中不應指向任何執行檔,且沒有命令列參數或網路連線。如果發現 [kworker] 正在進行網路傳輸,那絕對是後門。
強化 Nacos 與 Spring Boot 若使用 Nacos,請升級至 2.2.1 以上並強制開啟認證 (nacos.core.auth.enabled=true)。同時關閉生產環境中 Spring Boot 的 /actuator/heapdump 端點,防止記憶體傾印導致金鑰外洩。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。