德国计算机紧急响应小组(CERT-Bund)的安全专家和Yonathan Klijnsma称，大量攻击者利用Slider Revolution（RevSlider，WordPress常用幻灯片插件）的已知漏洞攻陷了全球范围内至少3,000个WordPress网站。该漏洞在2014年9月被众人所知。

攻击方式

早在2014年12月，Sucuri公司就曾发布报告称，超过100,000个WordPress网站被攻陷并用来传播恶意软件SoakSoak。

"我们的分析显示了大量WordPress网站受到的影响。我们不能确定其攻击途径，但是初步分析显示这和我们几个月报道过的Revslider漏洞有关。"

而现在，RevSlider漏洞再一次被攻击者利用，这些攻击者们在攻陷的网站上注入恶意iframe，将访客重定向到钓鱼工具包(exploit kit)网站。

攻击者通过本地文件包含（LFI）漏洞攻陷网站。LFI漏洞能够让攻击者们读取服务器文件系统，然后攻击者建立新的管理员帐号，上传恶意脚本，在其他WordPress插件文件中安装后门。

对一个被黑网站的调查显示，攻击者采取了如下步骤:

1、利用RevSlider添加新的管理员帐户
2、上传了一个名为smart.php的脚本
3、攻击者编辑了WordPress中的三个文件；WordPress插件中的两个文件被安装了代码执行后门，攻击者修改了WordPress程序中的‘nav-menu.php’文件

一般情况下，攻击者会将受害者们重定向到流行的Fiesta EK的网站，但是Klijnsma说攻击者们也会使用Angler EK。
钓鱼工具包(exploit kit)被很多恶意软件使用，包括Cryptowall 3.0勒索软件、金融木马和广告欺诈软件。

数据统计

计算机紧急响应小组收集了关于这个黑客行动的珍贵信息：超过半数被攻陷的网站都是.com域名，多数都是美国的。被攻击的网站还包括在荷兰、德国、法国、西班牙、英国、意大利、波兰、加拿大和新加坡的网站。

安全建议

Klijnsma建议那些已经被攻占的网站管理员们删除所有账号并用新密码建立一个新账号，因为攻击者在攻陷网站的那一刻就已经获得了网站的管理员权限，所有的那些账号都不安全了。

"将所有PHP文件与WordPress官方网站的文件对比，检查有无修改。任何修改过的文件都应该用原来的文件替换回来"

建议网站管理员们将RevSlider插件升级到最新版本，还应当使用来自WordPress官网的RevSlider补丁。

[参考来源SecurityAffairs，译/Sphinx，文章有修改，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）]