黑客正在利用onetone在wordpress网站上创建后门帐户-k8凯发游戏

黑客正在利用漏洞对运行onetone主题的wordpress网站展开攻击，该漏洞使他们能够读取和写入网站cookie并创建后门管理员帐户。

该攻击自本月初以来一直在进行，并且仍在进行中。

onetone是magee wp开发的一种流行但现已弃用的wordpress主题，有免费和付费版本，该漏洞是是跨站点脚本（xss）漏洞，

未修补漏洞

xss漏洞使攻击者可以将恶意代码注入主题设置中。该漏洞是由nintechnet的jerome bruandet于去年9月发现的，并已报告给主题作者和wordpress团队。

自2018年以来其网站未收到任何更新的magee wp未发布修复程序。在magee无法修复补丁之后，wordpress团队在一个月后的2019年10月从官方wordpress存储库中删除了该主题的免费版本。

根据 godaddy拥有的网络安全公司sucuri 的报告，攻击者于本月初开始利用此漏洞。

sucuri专家说，黑客一直在使用xss错误在onetone主题设置中插入恶意代码。由于主题在任何页面加载之前都会检查这些设置，因此代码会在易受攻击的站点的每个页面上触发。

窃取流量并创建后门帐户

苏库里（sucuri）的卢克·里尔（luke leal）说，该代码具有两个主要功能。一种是将网站的某些传入用户重定向到ischeck [。] xyz托管的流量分配系统，而第二种功能则创建后门机制。

但是，对于大多数访问该网站的用户来说，后门机制处于休眠状态。仅在站点管理员访问站点时触发。

该恶意代码可以识别站点管理员从常规用户访问该站点，因为它会在页面顶部查找wordpress管理员工具栏的存在，该工具栏仅对已登录的管理员显示。

图片：sucuri

一旦检测到管理员级别的用户，插入xss的恶意代码就会执行一系列静默的自动操作，从而在管理员用户不知情的情况下利用管理员用户的访问权限。

leal表示后门有两种创建方式-通过在wordpress仪表板中添加管理员帐户（用户名为system），或在服务器端创建管理员帐户级cookie文件（名为tho3faek的cookie文件）。

这两个后门的作用是，在从onetone设置中删除xss代码或修复xss onetone漏洞的情况下，授予攻击者对该站点的访问权限。

可悲的是，它似乎永远无法获得修复。尽管去年得到了通知，但该公司未在两周前回应sucuri的置评请求，也未回应zdnet上周发送的类似电子邮件。

针对onetone网站的攻击仍在继续。两周前，sucuri报告说，超过20,000个wordpress网站正在运行onetone主题。

如今，由于网站所有者开始根据当前的黑客攻击开始迁移到其他主题，该数字已降至16,000以下。