هکرها حمله گسترده ای را علیه بیش از 900،000 سایت وردپرس انجام داده اند که به دنبال تغییر مسیر بازدید کنندگان به سایت های خود و یا تزریق backdoor در صورت ورود مدیر بوده اند.
براساس پیلود های کشف شده ، به نظر می رسد که این حملات کار یک هکر است ، که در طی یک ماه گذشته حداقل از 24000 آدرس IP برای ارسال درخواست های مخرب به بیش از 900،000 سایت استفاده کرده است.
طبق اطلاعات منتشر شده تلاش های این هکر برای هک پس از 28 آوریل افزایش یافته است.
شرکت امنیتی Defiant ، سازندگان افزونه امنیتی Wordfence ، در تاریخ 3 ماه مه بیش از 20 میلیون حمله به بیش از نیم میلیون وب سایت را کشف کرد.
رام گال ، مدیر ارشد در Defiant ، اظهار داشته است كه مهاجمان بیشتر روی سوءاستفاده از آسیب پذیری XSS در افزونه های قدیمی تمركز كردنده اند.
هدایت بازدید کنندگان به سایت مخرب یکی از حملاتی است که با این آسیب پذیری قابل انجام است.
اگر جاوا اسکریپت توسط مرورگر admin که وارد سیستم شده است ، اجرا شود یک Backdoor PHP را در فایل header به همراه JavaScript دیگری تزریق میکند.
نمونه backdoor و کد های استفاده شده :
همانطور که میبینید backdoor اولیه شامل پیلودی است که اقدام به دانلود و اجرای یک پیلود خاص میکند و آن را در فایل header تم نصب شده ذخیره می کند. به گفته گال این روش به مهاجم اجازه می دهد تا کنترل سایت را حفظ کند.
منبع
براساس پیلود های کشف شده ، به نظر می رسد که این حملات کار یک هکر است ، که در طی یک ماه گذشته حداقل از 24000 آدرس IP برای ارسال درخواست های مخرب به بیش از 900،000 سایت استفاده کرده است.
طبق اطلاعات منتشر شده تلاش های این هکر برای هک پس از 28 آوریل افزایش یافته است.
شرکت امنیتی Defiant ، سازندگان افزونه امنیتی Wordfence ، در تاریخ 3 ماه مه بیش از 20 میلیون حمله به بیش از نیم میلیون وب سایت را کشف کرد.
رام گال ، مدیر ارشد در Defiant ، اظهار داشته است كه مهاجمان بیشتر روی سوءاستفاده از آسیب پذیری XSS در افزونه های قدیمی تمركز كردنده اند.
هدایت بازدید کنندگان به سایت مخرب یکی از حملاتی است که با این آسیب پذیری قابل انجام است.
اگر جاوا اسکریپت توسط مرورگر admin که وارد سیستم شده است ، اجرا شود یک Backdoor PHP را در فایل header به همراه JavaScript دیگری تزریق میکند.
نمونه backdoor و کد های استفاده شده :
همانطور که میبینید backdoor اولیه شامل پیلودی است که اقدام به دانلود و اجرای یک پیلود خاص میکند و آن را در فایل header تم نصب شده ذخیره می کند. به گفته گال این روش به مهاجم اجازه می دهد تا کنترل سایت را حفظ کند.
منبع