3 年入侵 144 万个 WordPress 网站!欧洲刑警端掉 SocGholish 木马团伙

作者:主机吧
发布时间:2026年7月5日

2026年7月5日消息,欧洲刑警组织(Europol)于6月末公布了”Operation Endgame”网络执法行动最新成果。警方成功打击了恶意木马 SocGholish 背后的犯罪团伙,查封106个域名/服务器,清理了14971个已被植入恶意代码的 WordPress 网站。

但这只是冰山一角。据联合参与此次行动的网络安全公司 Shadowserver 基金会披露,黑客从2023年5月17日至2026年5月25日,三年间累计入侵超过144万个WordPress网站。


一、数字触目惊心

先看几个关键数字:

统计项数值
入侵总时长3年(2023.5.17 – 2026.5.25)
被入侵网站总数1,440,000+
受影响国家和地区187个
受影响域名1,134,542
受影响IP地址271,176
涉及自治系统(ASN)1,550
已清理网站14,971
查封域名/服务器106

187个国家和地区,意味着几乎全球每个国家都有网站中招。1,550个ASN,意味着从大型云服务商到小型IDC,没有哪个网络环境是绝对安全的。


二、黑客用了什么手法?

研究人员发现,黑客使用的攻击手段并不算”高级”,但胜在自动化程度极高、覆盖范围极广

2.1 主要攻击手法

手法说明
密码喷洒(Password Spraying)用常见弱密码批量尝试登录不同网站的后台
暴力撞库利用已泄露的用户名密码组合批量测试
漏洞利用针对 WordPress 插件、主题的已知漏洞批量扫描
域名影子(Domain Shadowing)入侵域名注册商后台,在合法域名下创建恶意子域名

2.2 域名影子技术详解

“域名影子”是这次攻击中最值得关注的技术。

攻击者会先入侵域名注册商或域名管理后台,然后在合法域名下悄悄创建多个恶意子域名并建立钓鱼网站。这些子域名对域名所有者来说是完全不可见的——攻击者在注册商后台操作,而不是在域名所有者的DNS管理面板里操作。

之后,这些恶意子域名被用于:

  • 钓鱼邮件:伪装成官方通知,诱导受害者点击
  • 搜索引擎竞价排名:购买关键词广告,推广恶意网站
  • 恶意软件分发:在钓鱼页面中嵌入 SocGholish 木马下载链接

这种手法的高明之处在于:子域名在合法域名之下,安全公司很难通过域名信誉评分检测出来。 传统的黑名单机制对这种攻击基本无效。

2.3 SocGholish 木马做了什么?

SocGholish 是一种 JavaScript 木马,主要通过被黑的 WordPress 网站传播。它的典型运作流程:

1. 攻击者入侵 WordPress 网站
2. 在网站中植入恶意 JavaScript 代码
3. 访客访问网站时,JS 弹出虚假"浏览器更新"提示
4. 访客点击下载"更新",实为下载 SocGholish 木马
5. 木马安装后,攻击者可远程控制受害者电脑

三、为什么是 WordPress?

这不是 WordPress 第一次成为大规模攻击的目标,也不会是最后一次。

WordPress 占据了全球超过 40% 的网站市场份额,但大量站点存在以下问题:

问题比例(估算)后果
使用过时版本30%+已知漏洞可被批量扫描利用
插件未及时更新50%+插件漏洞是 WordPres 被黑的首要原因
使用弱密码40%+密码喷洒/撞库一打就穿
无安全防护措施60%+被入侵后毫无感知
从不检查异常文件70%+恶意代码长期潜伏

黑客利用的就是这些”懒病”。他们不需要多高深的技术,只需要写一个自动化扫描脚本,就能在全球范围内批量扫出大量可入侵的网站。


四、主机吧的防护建议

4.1 立即检查你的 WordPress 网站

bash

# 1. 检查是否有未知管理员账号
wp user list

# 2. 检查近期文件修改记录
find /www/wwwroot/ -name "*.php" -mtime -7

# 3. 检查是否有可疑的 JS 外链
grep -r "src=" /www/wwwroot/ | grep -E "(eval|base64|document.write)"

# 4. 检查 .htaccess 是否有异常规则
cat /www/wwwroot/.htaccess

# 5. 检查 wp-config.php 是否有异常内容
cat /www/wwwroot/wp-config.php | grep -E "(eval|base64|gzinflate)"

以上命令可以快速发现大部分常见的后门和恶意代码。

4.2 日常加固措施

账号层面:

  • 删除所有不用的管理员账号
  • 使用 16 位以上随机密码(建议密码管理器生成)
  • 开启 2FA 双因素认证

更新层面:

  • WordPress 核心保持最新版本
  • 所有插件和主题保持最新版本
  • 删除不用的插件和主题(它们也是攻击面)

防护层面:

  • 接入 WAF 隐藏源站 IP,防止攻击者直接扫描服务器
  • 启用登录频率限制(如 5 分钟内最多尝试 3 次登录)
  • 定期检查网站文件完整性

4.3 推荐方案:百度云防护 WAF

主机吧一直在推荐百度云防护 WAF,原因很简单——它能做的事情,比你自己折腾 Nginx 配置多得多:

防护能力Nginx 自配宝塔防火墙百度云防护 WAF
CC 攻击防护手动配限流基础限流智能识别+JA3指纹
漏洞虚拟补丁不支持基础规则每两周更新,自动生效
源站 IP 隐藏不支持不支持
Bot 爬虫识别不支持不支持
AI 爬虫拦截不支持不支持
恶意 JS 注入检测不支持有限
登录暴力破解防护手动配手动配

144 万个 WordPress 网站被入侵,说明黑客的攻击是全自动化的。你的网站能不能扛住,不取决于你有多小心,而取决于你的防护措施有多自动化。手动配置总有漏掉的一天,自动化防护才能 7×24 小时在线。

百度云防护基础版 299 元/月,通过主机吧购买享 7.5 折(299 元/月),免费配置指导。

🔗 https://www.zhujib.com/shop/26864.html


五、总结

Operation Endgame 这次行动成效显著——查封了 106 个域名/服务器、清理了近 1.5 万个网站。但相比 144 万个被入侵的网站总量,清理的只是九牛一毛。

对于 WordPress 站长来说,这次事件是一个明确的提醒:

  1. 你的网站可能已经被入侵了,只是你没发现
  2. 弱密码和过期插件是最大的安全隐患
  3. 手动检查不够,需要自动化的防护手段
  4. 接入 WAF 隐藏源站 IP,是性价比最高的安全投入

别等到你的网站成为下一个 144 万分之一,才开始重视安全。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
在线客服
热线电话
QQ客服
电子邮箱
suduwangluo