自2017年以来，持续进行的Balada Injector活动已感染一百万个WordPress网站

数百万WordPress网站受“Balada Injector”恶意活动影响

关键要点

自2017年以来，“Balada Injector”恶意活动已感染了大约一百万个WordPress网站。根据网络安全公司Sucuri的研究，该活动利用“所有已知和最近发现的主题和插件漏洞”，在WordPress网站上注入Linux后门。这种方法允许攻击者以不同级别访问受影响的网站，并获取重要信息。

恶意活动的范围和影响

该活动自始至今每几周就会发起一次新的攻击浪潮，使用新注册的域名和之前使用过的恶意软件变种。Sucuri最近观察到的攻击浪潮之一，利用了WordPress的Elementor Pro插件中的一个高严重性漏洞，该插件在全球有1100万网站使用。

GoDaddy的高级恶意软件研究员Denis Sinegubko表示，这一活动的识别标志包括对StringfromCharCode混淆的偏好、新注册域名上托管的恶意脚本，以及各种骗局网站的重定向，诸如虚假技术支持、伪中奖信息和推送通知骗局。

在过去一年里，“Balada Injector”迅速发展并使用了超过一百个不同的域名，利用多种攻击方法，包括站点 URL 攻击、HTML 注入、数据库注入等，往往在同一网站上发生多次感染。Sinegubko给出的一个例子显示，Sucuri发现某个页面曾被11个不同的恶意Balada脚本攻击了311次。

正如Sinegubko所指出的，Balada Injector一直在快速添加新漏洞有时甚至是未公开的0day漏洞，在漏洞披露后的几小时内便发起大规模的感染浪潮。而较旧的漏洞并没有被立即放弃，部分漏洞在补丁发布后仍被长期利用。

感染后的活动

Balada脚本的目标是窃取wpconfigphp文件中的数据库凭证，这可能在网站所有者修补先前的漏洞并移除后门文件后，依然允许继续访问网站。为了逃避检测，攻击者经常更改目标文件列表，添加“新元素”，同时删除“表现不佳的文件”。

Sinegubko解释道：“如果网站尚未被攻陷，他们会使用各种技巧获取wpconfigphp文件的内容；如果网站已经被攻陷，则会读取该文件以保存凭证供未来使用。”

此外，该恶意活动还尝试获取任意站点文件的访问权限，包括备份档案、数据库、访问日志等，并寻找像Adminer和phpMyAdmin这样的工具。最终，这些恶意软件导致生成假冒的WordPress管理员用户，窃取底层主机的数据，并留下后门以便未来的持续访问。

• • 2025-10-22 20:29:51
  • 22