WordPress木马:rms_unique_wp_mu_pl_fl_nm

2020年12月21日 | 分类: 【技术】

报告:https://one.weixiaoduo.com/3135.html

病毒好像是专门针对 WordPress Multisite 创建。

此木马病毒和 WP-VCD 不同,对网站系统内的文件数据不会产生破坏性的影响,但是会悄悄的获取网站的管理员权限和发布垃圾内容,过程想当隐蔽。

此病毒的传播途径是通过植入到一些热门高级插件、主题里然后通过免费下载传播,用户一旦上传至网站安装,启用相关插件后,就会自动生成在 mu-plugins 目录内生成一个 rms_unique_wp_mu_pl_fl_nm.php 文件,此文件可自动实现远程登录和获取到管理员权限,同时实现远程发布文章上传内容到用户站点。

木马文件一共有三个:

执行脚本:
rms-script-mu-plugin.php
rms-script-ini.php

自动生成:

rms_unique_wp_mu_pl_fl_nm.php

报告:https://wordpress.org/support/topic/mu-plugins-3/

This is not one of ours, we do not add must-use plugins.

报告:https://wordpress.stackexchange.com/questions/366956/rms-unique-wp-mu-pl-fl-nm-php

This file is being generated from these two files bundled inside nulled plugins:
rms-script-ini.php
rms-script-mu-plugin.php