互联网安全分析师已经发现,在 GoDaddy 托管的 WordPress 服务上托管的 WordPress 网站上,后门感染的数量激增,所有这些网站都有一个相同的后门有效载荷。
这起案件影响了互联网服务经销商,比如 MediaTemple,tsoHost,123Reg,Domain Factory,Heart Internet,以及 Host Europe Managed WordPress。
这一发现来自 Wordfence,其团队在2022年3月11日首次观察到这种恶意行为,298个网站在24小时内被后门感染,其中281个网站托管在 GoDaddy 上。
后门感染监视器(Wordfence)旧模板垃圾邮件发送者
感染所有网站的后门程序是一个植入 wp-config.php 的2015年 Google 搜索引擎 SEO-poisoning 工具,它可以从 c2中获取垃圾链接模板,这些模板用于向搜索结果中注入恶意页面。
该活动主要使用药物垃圾邮件模板,服务于访问者的妥协网站,而不是实际内容。
这些模板的目的很可能是诱使受害者购买假冒产品,向威胁者损失金钱和支付细节。
此外,演员可以通过修改网站内容和明显违规来损害网站的声誉,但这似乎不是演员此时的目的。
由于这种攻击发生在服务器而不是浏览器上,所以这种类型的攻击很难从用户的角度检测和阻止,因此,本地的互联网安全工具不会检测到任何可疑的东西。
供应链攻击?
入侵向量尚未确定,因此尽管这看起来可疑地接近供应链攻击,但尚未得到证实。
已经联系 GoDaddy 了解更多关于这种可能性的信息,但是我们还没有得到回复。
值得注意的是,GoDaddy 在2021年11月披露了一起数据泄露事件,影响了120万用户和多家管理 WordPress 服务经销商,其中包括介绍中提到的6家。
这个漏洞涉及到未经授权访问该公司管理的 WordPress 站点的系统。因此,认为这两种现象可能有联系并不牵强。
无论如何,如果你的网站托管在 GoDaddy 管理的 WordPress 平台上,一定要扫描你的 wp-config.php 文件,找到潜在的后门注射。
注入的编码后门的样子(Wordfence)
Wordfence 还提醒管理员,删除后门应该是第一步,删除垃圾搜索引擎的结果也应该是一个优先事项。
网友留言: