上个月Balada Injector攻击中有超过17,000个WordPress网站被黑

导语

最近,一场名为Balada Injector的攻击活动引起了广泛关注。这次攻击以WordPress网站为目标,据统计,有超过17,000个网站受到了感染。在本文中,我们将详细介绍这次攻击的概述、攻击手段以及如何保护自己的网站。

攻击概述

Balada Injector是一个规模庞大的攻击行动,由Dr. Web于2022年12月发现。攻击者利用已知的WordPress插件和主题漏洞,注入了Linux后门,从而感染了超过17,000个WordPress网站。这些受感染的网站会将访问者重定向到虚假的技术支持页面、欺诈性彩票中奖页面和推送通知诈骗页面。因此,可以说这次攻击既可能是一场诈骗活动,也可能是一项向骗子出售的服务。

根据Sucuri在2023年4月的报告,Balada Injector自2017年以来一直活跃,并估计已感染近百万个WordPress网站。攻击者利用了tagDiv Composer的CVE-2023-3169跨站脚本攻击(XSS)漏洞,该漏洞存在于tagDiv的Newspaper和Newsmag主题的WordPress网站中。根据公开的EnvatoMarket统计数据,Newspaper主题销量达到了137,000个,Newsmag主题销量超过18,500个,因此攻击面达到了155,500个网站,这还不包括盗版副本。

攻击手段

最新的攻击活动针对CVE-2023-3169漏洞开始于9月中旬,该漏洞的详细信息和PoC(攻击验证代码)已经公开。这些攻击的特点是在特定标签中注入恶意脚本,并将注入代码隐藏在网站数据库的'wp_options'表中。同时,攻击者还通过注入代码到网站模板中,将用户重定向到受攻击者控制的欺诈网站。

在当时,tagDiv的一位代表证实他们意识到了这个漏洞,并告诉人们安装最新的主题以防止受到攻击。他解释道:"我们意识到了这些情况。恶意软件可能会影响使用旧版本主题的网站。除了更新主题之外,建议立即安装诸如wordfence之类的安全插件,并扫描网站。还要更改所有网站密码。"

根据Sucuri的报告,Balada Injector在2023年9月已经感染了超过17,000个WordPress网站,其中超过一半(9,000个)是通过利用CVE-2023-3169漏洞实现的。这些攻击波次迅速优化,表明攻击者可以迅速调整技术手段以达到最大的影响。

保护措施

为了防范Balada Injector攻击,建议升级tagDiv Composer插件至4.2版本或更高版本,以修复已知漏洞。此外,保持所有主题和插件的更新,删除未使用的用户账户,并扫描文件以查找隐藏的后门。

Sucuri提供了免费的扫描工具,可以检测大多数Balada Injector变种,建议使用该工具对WordPress安装进行扫描,以确保没有受到攻击。

总结

Balada Injector攻击是一次规模庞大的针对WordPress网站的攻击行动,已经感染了超过17,000个网站。攻击者利用已知漏洞注入了Linux后门,并将受感染的网站重定向到欺诈网站。为了保护自己的网站,建议升级tagDiv Composer插件,保持所有主题和插件的更新,并定期扫描文件以查找隐藏的后门。

相关推荐
叫我龙翔3 分钟前
【项目日记】仿mudou的高并发服务器 --- 实现缓冲区模块,通用类型Any模块,套接字模块
linux·运维·服务器·网络·c++
网络安全-杰克10 分钟前
网络安全服务(Network Security Services, NSS)
安全·web安全
德迅云安全-甲锵16 分钟前
如何理解DDoS安全防护在企业安全防护中的作用
安全·ddos
程序员洲洲22 分钟前
使用青果代理IP爬取豆瓣TOP250电影数据
网络·网络协议·tcp/ip
Huazzi.34 分钟前
免费好用的静态网页托管平台全面对比介绍
前端·网络·github·web
张小小大智慧35 分钟前
HTTP 协议应用场景
网络·网络协议·http
安晴晚风37 分钟前
HTTP有哪些风险?是怎么解决的?
网络·网络协议·http
Ting丶丶38 分钟前
安卓应用安装过程学习
android·学习·安全·web安全·网络安全
小黄编程快乐屋39 分钟前
深入理解 HTTP 请求头与请求体
网络·网络协议·http
小宇python1 小时前
动态调试对安全研究有什么帮助?
网络·安全·web安全