Az Önhöz hasonló olvasók támogatják a MUO-t. Amikor a webhelyünkön található linkek használatával vásárol, társult jutalékot kaphatunk.
Egy új rosszindulatú SEO-kampány több mint 15 000 WordPress-webhelyet veszélyeztetett sikeresen. A kampány célja, hogy a látogatói forgalom növelése érdekében átirányítsa a felhasználókat hamis kérdezz-felelek oldalakra.
Több mint 15 000 WordPress-webhely veszélybe került
Egy új black hat átirányítási kampányban a hackereknek több mint 15 000 WordPress-webhelyet sikerült feltörniük, hogy növeljék a különböző hamis webhelyek keresőmotori rangját.
Amint arról a Sucuri blogbejegyzés, 2022 szeptembere óta észrevehetően megnövekedett a WordPress rosszindulatú programokat átirányító webhelyek száma. Ezek az átirányító webhelyek hamis, gyenge minőségű kérdés-válasz portálokra irányítják a felhasználókat. Csak szeptemberben és októberben a hackerek több mint 2500 webhelyet tudtak sikeresen megcélozni.
A Sucuri, egy biztonsági kutató eddig 14 hamis webhelyet észlelt, amelyek szervereit eltakarták
egy proxy. Az oldalakon megjelenő kérdések más, legitim Q&A platformokról származnak. A megnövekedett SEO rangsor révén ezek a webhelyek több személyt érhetnek el.A hamis kérdezz-felelek webhelyek rosszindulatú programokat terjeszthetnek
Az ebben az átirányítási kampányban használt hamis webhelyek képesek rosszindulatú programokat terjeszteni a látogatók felé. Sok rosszindulatú webhelytől eltérően ezek a hamis kérdések és válaszok fórumai webhelyenként több mint 100 fertőzött fájl módosítására képesek. Ezt nem gyakran teszik meg, mivel ez valószínűbbé teszi észlelésüket és megszüntetésüket.
A fent említett blogbejegyzésben Sucuri kijelentette, hogy a fertőzött fájlok többsége a WordPress központi eleme. fájlokat, hanem felsorolt számos, leggyakrabban fertőzött fájlt is, amelyek mindegyike .php formátumú kiterjesztések. A fertőzött .php fájlok listája az alábbiakban látható:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri azt is kiemelte, hogy a rosszindulatú program néhány állegitim fájlnévben is megtalálható, amelyeket maguk a hackerek dobtak el, többek között:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
A hackerek betörési módszere lehet sebezhető beépülő modul vagy brute-force
A Sucuri még nem fedezte fel, hogy ezek a feketekalapos hackerek hogyan törik fel ezeket a WordPress-webhelyeket, de úgy gondolják, hogy egy sebezhető bővítmény vagy a brute force támadás a legvalószínűbb tettes. Előfordulhat, hogy a hackerek egy exploit kit segítségével keresik a beépülő modulokon belüli biztonsági réseket a célpont kiemelése érdekében. Alternatív megoldásként a WordPress webhely adminisztrátorának bejelentkezési jelszavát feltörhetik egy algoritmus segítségével nyers erejű támadás.
A WordPress webhelyek gyakori kizsákmányolási célok
Egyáltalán nem ez az első alkalom, hogy a WordPress-webhelyeket rosszindulatú szereplők célozzák meg. A múltban több millió WordPress-webhelyet veszélyeztettek kiberbűnözők, és kétségtelen, hogy továbbra is sokan lesznek ilyen támadások áldozatai.
