WordPress网站恶意重定向:隐藏在Google Tag Manager代码中的威胁剖析

本文详细分析了一种新型WordPress网站恶意攻击。攻击者并非感染主题或插件文件,而是将恶意Google Tag Manager脚本直接注入数据库,导致网站用户在访问数秒后被重定向至垃圾域名。文章揭示了攻击原理、技术细节及修复步骤。

WordPress Redirect Malware Hidden in Google Tag Manager Code

Puja Srivastava July 17, 2025

上个月,一位客户在注意到其WordPress网站意外重定向到一个垃圾域名后与我们联系。该重定向发生在用户访问网站大约4-5秒后。

仔细检查网站的源代码后,我们发现了一个可疑的Google Tag Manager加载项。 这并不是我们第一次看到GTM被滥用。今年早些时候,我们分析了一次信用卡盗刷攻击,攻击者通过GTM容器注入了支付盗取器。

这篇博客文章详细介绍了我们对此次活动的全面调查,包括其注入方式、工作原理以及我们如何将其移除。

我们发现了什么?

感染并不在主题或插件文件中,而是直接隐藏在WordPress数据库内。攻击者使用他们控制的容器ID,注入了一个看似合法的Google Tag Manager脚本。

被注入的代码从以下地址加载了一个远程JavaScript文件: https://www.googletagmanager.com/gtm.js?id=GTM-PL2J2GLH

该脚本将用户重定向到当前已知与垃圾邮件活动相关的域名 spelletjes[.]nl。经过进一步分析,我们发现这个GTM容器被用于超过200个受感染的网站(根据PublicWWW的数据)。

攻击者将此代码同时添加到了wp_options表(选项名称为 ihaf_insert_body)和wp_posts表中。

这使得攻击者无需访问文件系统即可执行恶意行为,使得通过标准的基于文件的扫描器更难检测到感染。

攻击向量与IoC(入侵指标)

注入的脚本使用容器ID GTM-PL2J2GLH,并加载以下远程文件: hxxps://www[.]googletagmanager[.]com/gtm.js?id=GTM-PL2J2GLH

加载后,该脚本使用JavaScript执行客户端重定向。

这个有效负载完全由攻击者通过其GTM账户控制。由于它托管在广泛使用的服务googletagmanager.com上,这种重定向避开了许多常见的安全过滤器。

恶意软件分析

wp_options表中的注入JavaScript 攻击者将以下代码放置在wp_options表的option_value中,使用的option_name值为ihaf_insert_body(ihaf – “insert headers and footers”,插件现名为wpcode)。这很可能是由于管理员用户被入侵,通过wp-admin面板插入的。

此加载器的目的是从Google的CDN获取外部JavaScript,然后在客户端执行重定向。

GTM容器中的恶意重定向脚本 最终的恶意负载托管在远程并由攻击者控制,被发现包含恶意重定向脚本。 \u003Cscript type=\"text\/gtmscript\"\u003Ewindow.location.href=\"https:\/\/www.spelletjes[.]nl\/\";\u003C\/script\u003E

这个Unicode转义字符串解码为: <script type="text/gtmscript">window.location.href="https://www.spelletjes.nl/";</script>

恶意软件的影响

此感染导致网站访问者被强制重定向到spelletjes[.]nl,一个提供广告和游戏的网站。

重定向损害了用户信任和SEO,降低了转化率,并可能导致您的网站被安全扫描器或浏览器警告标记。此外,它具有极大的欺骗性,因为有效负载隐藏在一个看似合法的GTM脚本中。

修复步骤

要修复基于Google Tag Manager的恶意软件:

  1. 移除任何可疑的GTM标签。登录GTM,识别并删除任何可疑标签。
  2. 执行完整的网站扫描,以检测任何其他恶意软件或后门。
  3. 移除任何恶意脚本或后门文件
  4. 确保Magento及所有扩展程序都已更新到包含安全补丁的最新版本。
  5. 定期监控网站流量和GTM是否存在任何异常活动。
  6. 使用双重认证保护wp-admin

结论

这次攻击是一个绝佳的例子,展示了网络犯罪分子如何滥用Google Tag Manager这样的合法服务。通过将受信任的脚本标签放入数据库(很可能是由于wp-admin用户被入侵),并将其隐藏于众目睽睽之下,攻击者能够远程控制网站,并将流量重定向到可疑目的地,而无需修改任何主题文件。

如果您遇到重定向或怀疑您的网站已被入侵,我们的恶意软件研究团队全天候24/7为您提供帮助。

Puja Srivastava Puja Srivastava 是一位安全分析师,热衷于对抗新型和未被发现的恶意软件威胁。在恶意软件研究和安全领域拥有超过7年的经验,Puja 在检测、监控和清理网站恶意软件方面磨练了她的技能。她的职责包括网站恶意软件修复、培训、交叉培训以及指导新员工和其他部门的分析师,并处理升级问题。工作之余,Puja 喜欢探索新的地方和美食,在厨房尝试新食谱,以及下棋。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次