WordPress安全公司Defiant本周透露，通过插件和主题漏洞，大规模的攻击活动已经针对900,000多个WordPress网站。

这些攻击最初是在4月28日发现的，但在5月3日出现了大规模的飙升，超过50万个网站受到了攻击。该活动可能是单个威胁参与者的工作，目的是向目标网站注入旨在将访问者重定向到恶意网站的恶意JavaScript。

过去仅负责小规模的攻击，威胁行动者加快了行动，5月3日注册了2000万次攻击。研究人员发现，在过去的一个月中，使用了超过24,000个不同的IP地址进行攻击超过90万个网站。

Defiant说：“由于我们所针对的攻击和站点数量庞大，种类繁多，因此您的站点可能会受到这些攻击，并且恶意行为者将来可能会转向其他漏洞，” Defiant说。

目标漏洞不是新漏洞，并且在先前的攻击中也已被滥用。其中包括Easy2Map插件中的跨站点脚本（XSS）漏洞（2019年8月从WordPress存储库中删除），博客设计器（2019年修补）和报纸主题（2016年修补），以及选项更新WP GDPR合规性漏洞（于2018年底修补）和总捐款（于2019年初删除）。

Defiant表示：“虽然这些漏洞为何成为目标尚不十分清楚，但这是一次大规模运动，很容易转向其他目标。”

攻击者尝试将其插入目标网站的JavaScript代码位于count [。] trackstatisticsss [。] com / stm，并检查受害者是否设置了任何WordPress登录cookie。攻击者希望脚本可以在管理员的浏览器中执行。

未登录且不在登录页面上的管理员将被重定向到恶意广告站点。否则，脚本将尝试将恶意的PHP后门以及第二个恶意JavaScript注入当前主题的标头中。

后门从https：// stat [。] trackstatisticssss [。] com / n.txt下载另一个有效负载，并尝试通过将其包含在主题标头中来执行该有效负载。

“此方法将使攻击者能够控制该站点，因为他们可以简单地将https：// stat [。] trackstatisticssss [。] com / n.txt中文件的内容更改为他们选择的代码，曾经嵌入Web外壳，创建恶意管理员，甚至删除了网站的全部内容。”

此攻击中使用的最终有效负载旨在将初始脚本的变体添加到站点上的每个JavaScript文件以及名为“索引”的所有.htm，.html和.php文件之前。它还每6400秒重新检查一次受感染的站点，并在必要时对其进行重新感染。

建议网站所有者保持所有插件的更新，并停用和删除那些已从WordPress插件存储库中删除的插件，以确保其网站受到保护。

版权申明：本站文章均来自网络，如有侵权，请联系01056159998 邮箱：itboby@foxmail.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有