Pharma Hack 到底是什么? WordPress Pharma Hack 是一種垃圾郵件注入方法。它非常微妙——您可以將其視為一種寄生蟲,它以網站上排名最高的頁面為食,旨在獲得有價值的鏈接。現在，讓北京六翼開源的開發工程師給大家介紹一下 WordPress Pharma Hack攻擊期間發生的實際情況。

如何判斷您的 WordPress 網站是否被 Pharma Hack 感染？

1. Pharma Hack的脆弱性

要實施此類黑客攻擊，黑客必須首先利用已知漏洞或零日攻擊。

一些最常見的漏洞包括：

XSS的SQL 注入。發生這些情況是因為主題或您運行的插件中的軟件編碼標準不佳。有時，這些問題甚至發生在WordPress 核心軟件中。始終保持您在 WordPress 上運行的軟件完全最新，包括您的插件和主題。

弱 FTP 和帳戶密碼。如果您是 WordPress 網站所有者，強密碼絕對必不可少。這適用于各種規模的網站。由于登錄憑據薄弱，甚至 Linux Gen 得 GitHub 存儲庫最近也遭到黑客攻擊。

啟用錯誤顯示和內容列表。因此，Internet 上的任何人都可以公開讀取您站點的重要文件。

2. Pharma Hack的持久性

WordPress pharma hack 通過更改您的根目錄的內容而成功。大多數垃圾郵件攻擊將通過您的/includes或/misc 文件夾發生。

垃圾郵件發送者將使用以下方法獲得持久性或延長訪問權限：

• 添加新頁面，如leftpanelsin.php、cache.php等。
• 修改index.php、wp-page.php、nav.php等PHP 文件
• 將垃圾郵件文件隱藏在/images文件夾中。網絡爬蟲不希望在這里看到文件，這可以防止它們被檢測到。
• 使用 base64 編碼混淆代碼
• 編輯xmlrpc.php以避免被網站管理員檢測
• 使用 cron 作業重新感染
• 偽裝：根據用戶代理區分網絡爬蟲。結果是 Googlebot 看到的內容與 Mozilla 用戶看到的內容不同。
• 在文件擴展名前附加點。因此，將頁面重命名為.otherfile以使其不可見。

3. Pharma Hack的結果

作為 WordPress 網站所有者，當黑客在您的網站上成功入侵制藥公司時，您會發生什么？

• 您的網站將失去其良好聲譽，因為它現在將顯示 Cialis 和 Viagra 廣告。
• 您可能會被 Google 列入黑名單，這意味著您將很難重新獲得網站的聲譽。
• 用戶將不再信任您的網站并且不會返回。
• 搜索引擎排名將直線下降。
• 您的網站將產生對其他網站的點擊。您辛勤工作獲得的相同點擊次數將流向其他地方。

顯然，所有這些結果都不利于您的網站和您的業務。

Pharma Hack 的代碼隱藏在哪里?

與大多數 WordPress 黑客一樣,Pharma 黑客正在使用您的網站核心、插件和主題文件來存儲其惡意軟件。在這種情況下,Pharma Hack 也使用數據庫來保持持久性。

通過 WordPress 默認目錄(核心、插件、主題)中的惡意文件

惡意文件必須放在您的 WordPress 目錄中。它們通常包含諸如base64_decode()和eval()等函數。從這個意義上說,Pharma Hack 與任何其他 hack 沒有什么不同。

通過WordPress數據庫中的加密代碼

不同的是,使用 Pharma Hack,這些函數以字符串的形式存儲在數據庫中并反向編碼,從而使其更難查找和消除。當 hack 文件運行時,它會從數據庫中提取字符串,對它們進行解碼并將它們作為函數運行。