返回首页

WordPress 插件中的后门:Ethereum 中的 C2

黑客通过在 Flippa 上购买,将后门注入 30+ 个 WordPress 插件,使用 PHP 反序列化以及 Ethereum 合约中的 C2 进行 SEO 垃圾信息。该攻击对封锁有抵抗力,需要审计 wp-config.php 和日志。针对开发者的检查清单和保护措施。

黑客通过 Ethereum C2 入侵了 30 个 WP 插件
Advertisement 728x90

30+ WordPress插件后门曝光:PHP反序列化与以太坊智能合约C2

黑客通过Flippa平台收购了30多个热门WordPress插件,利用PHP反序列化技术嵌入隐蔽后门,并在八个月后激活,大规模传播SEO垃圾信息。其命令与控制(C2)服务器伪装在以太坊智能合约中,彻底规避了传统域名封禁手段。受影响的Essential Plugin(原WP Online Support)插件已于2026年4月7日从WordPress.org官方仓库下架。

后门如何被植入?

该后门首次出现在2025年8月新所有者提交的首个SVN版本中。在class-anylc-admin.php文件中,以兼容WordPress 6.8.2为名,新增了191行代码。关键组件包括:

  • fetch_ver_info()方法使用file_get_contents()从远程服务器获取数据,并调用@unserialize()进行反序列化。
  • version_info_clean()方法可执行任意函数——函数名、参数和载荷均来自反序列化后的响应数据。
  • 一个REST API接口,权限回调设为__return_true,无需任何身份验证即可访问。

这是一次典型的任意函数调用漏洞利用。后门静默潜伏八个月,默默积累安装量,以切断与原开发者之间的关联。

Google AdInline article slot

激活时间集中在2026年4月5日至6日:wpos-analytics模块从analytics.essentialplugin.com下载wp-comments-posts.php,并将恶意PHP代码注入wp-config.php。该载荷采用搜索引擎爬虫伪装技术——仅对Googlebot显示垃圾链接、跳转页面和虚假内容,普通用户访问时则完全正常。

借助以太坊实现抗封锁的C2架构

该后门并未硬编码域名或依赖DNS解析。相反,它通过公共以太坊RPC节点(如Infura、Alchemy)查询,并直接从智能合约中读取当前服务器地址。

此策略的权衡如下:

Google AdInline article slot
  • 对攻击者有利: 仅需一次交易(约$3燃气费),即可更新所有受感染站点的域名。即使域名被封禁,合约仍永久存在于区块链上,无法清除。
  • 对防御方不利: 所有交易公开透明,便于监控合约行为;在主机或WAF层面屏蔽RPC访问虽可行,但可能影响合法去中心化应用(dApp)的正常运行。

妥协点在于:去中心化特性使关闭更难,但同时也让链上分析成为检测的有效手段。

收购背景与历史脉络

该业务由Minesh Shah等人于2015年创立,后更名为Essential Plugin,运营30多个免费插件并提供付费升级服务。至2024年底,收入下降35%–45%,随后在Flippa平台挂牌出售。买家“Kris”具备丰富的SEO、加密货币及在线赌场领域经验,支付了数万美元高价购得。

类似模式早有先例:2017年,“Daley Tias”以1.5万美元收购拥有20万安装量的Display Widgets插件,并迅速引入垃圾内容。此后规模不断扩大,发展至如今覆盖30多个插件的复杂基础设施体系。

Google AdInline article slot

受影响插件完整清单

WordPress.org已于2026年4月7日移除全部受影响插件。请立即检查并卸载:

  • 折叠面板与滑动折叠图
  • 相册与图片画廊增强版轻量灯箱
  • 音频播放器带歌单终极版
  • 博客设计用于文章与小工具
  • 倒计时定时器终极版
  • 精选文章创意展示
  • 页脚巨型网格列布局
  • 英雄横幅终极版
  • HTML5视频画廊增强播放器
  • 元数据幻灯片与轮播图灯箱版
  • 点击弹出任意内容
  • 作品集与项目展示
  • 文章分类图片带网格与滑动
  • 文章网格与筛选终极版
  • 网站预加载动画
  • WooCommerce产品分类设计模板
  • 响应式WP常见问题解答带分类(sp-faq)
  • 滑动图包——全功能图像幻灯片集合
  • SP新闻与小工具
  • WP PageNavi样式扩展插件
  • 无限滚动新闻条
  • 时间线与历史滑动展示
  • WooCommerce产品滑动与轮播图分类版
  • WP博客与小工具
  • WP精选内容与滑动展示
  • WP品牌展示响应式滑动与轮播图
  • WP响应式最新文章滑动图
  • WP Slick滑动图与图片轮播图
  • WP团队展示与滑动图
  • WP客户评价带小工具
  • WP热门文章滑动图与小工具

清理操作清单

强制更新(如2.6.9.1版本)仅添加了return;语句,wpos-analytics模块仍处于活跃状态。请立即采取行动:

  • wp plugin list --format=csv —— 核实插件作者是否为Essential Plugin或WP Online Support。
  • 删除并从可信源重新安装。
  • grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php —— 检查是否存在可疑代码。
  • grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php —— 查找以太坊相关调用痕迹。
  • stat wp-config.php —— 检查文件修改时间是否异常。
  • 审查日志:确认2026年3月至4月期间是否有对analytics.essentialplugin.com的请求,以及以太坊RPC活动记录。
  • 清理完成后,重新提交网站至Google Search Console。

核心要点:

  • 后门存在于2025年8月之后发布的版本中——即使更新也无法彻底清除。
  • 以太坊智能合约中的C2机制可绕过DNS封锁——需持续监控RPC调用行为。
  • 恶意伪装仅针对Googlebot——普通用户访问时无异常表现。
  • 供应链攻击通过Flippa平台快速扩散,缺乏尽职调查是关键风险。
  • 生产环境必须执行代码差异对比与变更日志审计。

如何防范供应链攻击?

WordPress.org应推行维护者身份验证机制,并启用自动化SVN差异扫描。对中高级开发者建议:

  • 自动化代码比对:若变更日志提及“兼容性”但新增191行以上代码,即为高危信号。
  • WAF规则:拦截来自可疑端点的RPC请求。
  • 监控机制:追踪链上合约交易记录及出站连接行为。

插件数量已从2017年的9个增长至如今的30多个。请立即审计您的站点安全状况。

— Editorial Team

Advertisement 728x90

继续阅读