wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

该攻击是本月初发现的,目标是由Akamai安全团队的安全研究员Larry Cashdollar设置和管理的WordPress蜜罐wordpress入侵。

wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

现在已经看到一个新的网络犯罪团伙接管了脆弱的WordPress网站,以安装隐藏的电子商务商店,目的是劫持原始网站的搜索引擎排名和声誉,并促进在线欺诈。

攻击者利用蛮力攻击来访问网站的管理员帐户,然后重写了WordPress网站的主索引文件并附加了恶意代码。

Cashdollar表示,虽然代码被严重混淆,但该恶意软件的主要作用是充当代理并将所有传入流量重定向到由黑客管理的远程命令和控制(C&C)服务器。

正是在此服务器上进行了攻击的整个“业务逻辑”。根据Cashdollar的说法,典型的攻击如下:

用户访问被黑的WordPress网站。被黑的WordPress网站将用户查看该网站的请求重定向到恶意软件的C&C服务器。如果用户符合特定条件,则C&C服务器会通知站点以HTML文件答复,该HTML文件包含兜售各种各样普通物品的在线商店。被黑的网站会通过一个骗局的在线商店来响应用户的请求,而不是用户想要查看的原始网站。

Cashdollar说,在黑客访问他的蜜罐的那段时间里,攻击者托管了7,000多家电子商务商店,这些商店打算为来访者提供服务。

入侵者毒害了该网站的XML网站地图此外,Akamai研究人员表示,黑客还为被黑客入侵的WordPress网站生成了XML网站地图,其中包含伪造的在线商店条目以及该网站的真实页面。

攻击者生成了站点地图,并将其提交给Google的搜索引擎,然后删除了站点地图以避免被检测到。

尽管此过程看上去无害,但实际上对WordPress网站产生了很大的影响,因为它最终以不相关和欺诈的条目使关键字中毒,从而降低了网站的搜索引擎结果页(SERP)排名。

Cashdollar现在认为,这种恶意软件可用于SEO勒索计划-犯罪集团有意毒害站点的SERP排名,然后索取赎金以恢复其影响。

“这使得他们的低壁垒攻击犯罪分子拉断,因为他们只需要几个受到攻击的主机上手,” Cashdollar说。“鉴于网上有成千上万个废弃的WordPress安装,还有数以百万计的具有过时的插件或较弱的凭据,潜在的受害者池是巨大的。”

购物网站被黑!WordPress漏洞是主因

基于WordPress的购物网站受到黑客组织的攻击,该组织借助跨站点脚本(XSS),滥用购物车插件中的漏洞来植入后门并接管那些易受攻击的购物网站。

wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

wordpress入侵-无人管理的WordPress网站成为黑客香饽饽

插件漏洞原理

根据Wordfence(WordPress网站防火墙插件)开发公司Defiant的说法,攻击目前还在进行中。从官方WordPress插件存储库中可以发现,黑客组织的攻击目标是使用“Abandoned Cart Lite for WooCommerce”插件的WordPress网站,这是一个安装在2万多个WordPress网站上的插件。

这种攻击方式实际上是比较罕见的,谁能想到一个普通且通常无害的跨站点脚本(XSS)漏洞实际上可能导致严重的攻击,而在此前,XSS漏洞很少被攻击者利用。攻击者结合了插件和漏洞的操作模式,展开了“完美”的攻击。

该插件顾名思义,允许网站管理员查看废弃购物车——用户在突然离开网站之前添加到购物车中的产品。网站管理员使用此插件来统计潜在的热门商品列表。这些废弃购物车列表只能在WordPress网站后台访问,通常只能由具有高权限帐户的管理员或其他用户访问。

黑客如何利用这个漏洞

根据Defiant公司安全研究员Mikey Veenstra 的报告,黑客正在对WordPress上基于WooCommerce的购物商店进行自动化操作,以生成包含混淆名称产品的购物车。

他们在购物车的某个字段中添加漏洞利用代码,然后离开该网站,这一操作可确保漏洞利用代码存储在商店的数据库中。当管理员访问商店的后端以查看被放弃的购物车列表时,只要加载了特定的后端页面,就会立刻执行黑客的漏洞利用代码。

Veenstra表示,在过去的几周里,Wordfence已经检测到了几次使用这种技术的攻击尝试。该公司发现的攻击使用了从bit.ly链接(解析为 hXXps://cdn-bigcommerce[.]com/visionstat.js)加载JavaScript文件的漏洞利用代码,此代码试图在运行易受攻击插件的网站上植入两个不同的后门。

第一个后门是黑客在网站上创建一个新的管理员帐户。这个新的管理员账户名为woouser,以woouser401a@mailinator.com电子邮件地址注册,密码是K1YPRka7b0av1B。

第二个后门更加狡猾,是一种很少见的策略。恶意代码列出了网站的所有插件,并查找网站管理员禁用的第一个插件。黑客不会重新启用它,而是用恶意脚本替换其主文件的内容,该脚本可作为未来访问的后门。该插件将保持禁用状态,但由于其文件仍在磁盘上且可通过Web请求访问,因此黑客可以向该第二个后门发送恶意指令,以防网站管理员删除第一个后门创建的woouse帐户。

用于此攻击活动的bit.ly链接已被访问超过5200次,这表明受感染网站的数量可能达到数千个之多。即便如此,5200这个数字也并不完全准确,Veenstra解释道:“Bit.ly统计数据可能不够精确,因为如果XSS有效载荷停留在废弃购物车中且管理员经常访问,那么一个受感染的网站可以多次获取该链接。”

除此之外,还有很多已成功部署的XSS漏洞正在等待管理员首次打开该页面,这表明许多网站可能已经遭到攻击,至少还没有部署好后门——bit.ly链接尚未加载。令人费解的是,Veenstra和Defiant的其他研究人员目前还无法确定黑客入侵这些WordPress购物网站的攻击目的。但他们推测,黑客可能会利用这些网站分发SEO垃圾邮件,或是部署卡片信息收集器。

最后,研究人员建议使用该插件的WordPress购物网站管理员应更新其网站并查看管理员帐户列表中是否存在可疑条目。除了woouser账户,黑客也可能使用其他名称。

本文作者:Gump,转载自:/detail/3860.html

本文来自网络,不代表唯米智能立场,转载请注明出处。如有侵权请联系删除。http://www.weiseo.cc/b/3404.html

作者: 小易

上一篇
下一篇
联系我们

联系我们

在线咨询: QQ交谈

邮箱: 2013723@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部
在线客服系统