上个月Balada Injector攻击中有超过17,000个WordPress网站被黑

导语

最近,一场名为Balada Injector的攻击活动引起了广泛关注。这次攻击以WordPress网站为目标,据统计,有超过17,000个网站受到了感染。在本文中,我们将详细介绍这次攻击的概述、攻击手段以及如何保护自己的网站。

攻击概述

Balada Injector是一个规模庞大的攻击行动,由Dr. Web于2022年12月发现。攻击者利用已知的WordPress插件和主题漏洞,注入了Linux后门,从而感染了超过17,000个WordPress网站。这些受感染的网站会将访问者重定向到虚假的技术支持页面、欺诈性彩票中奖页面和推送通知诈骗页面。因此,可以说这次攻击既可能是一场诈骗活动,也可能是一项向骗子出售的服务。

根据Sucuri在2023年4月的报告,Balada Injector自2017年以来一直活跃,并估计已感染近百万个WordPress网站。攻击者利用了tagDiv Composer的CVE-2023-3169跨站脚本攻击(XSS)漏洞,该漏洞存在于tagDiv的Newspaper和Newsmag主题的WordPress网站中。根据公开的EnvatoMarket统计数据,Newspaper主题销量达到了137,000个,Newsmag主题销量超过18,500个,因此攻击面达到了155,500个网站,这还不包括盗版副本。

攻击手段

最新的攻击活动针对CVE-2023-3169漏洞开始于9月中旬,该漏洞的详细信息和PoC(攻击验证代码)已经公开。这些攻击的特点是在特定标签中注入恶意脚本,并将注入代码隐藏在网站数据库的'wp_options'表中。同时,攻击者还通过注入代码到网站模板中,将用户重定向到受攻击者控制的欺诈网站。

在当时,tagDiv的一位代表证实他们意识到了这个漏洞,并告诉人们安装最新的主题以防止受到攻击。他解释道:"我们意识到了这些情况。恶意软件可能会影响使用旧版本主题的网站。除了更新主题之外,建议立即安装诸如wordfence之类的安全插件,并扫描网站。还要更改所有网站密码。"

根据Sucuri的报告,Balada Injector在2023年9月已经感染了超过17,000个WordPress网站,其中超过一半(9,000个)是通过利用CVE-2023-3169漏洞实现的。这些攻击波次迅速优化,表明攻击者可以迅速调整技术手段以达到最大的影响。

保护措施

为了防范Balada Injector攻击,建议升级tagDiv Composer插件至4.2版本或更高版本,以修复已知漏洞。此外,保持所有主题和插件的更新,删除未使用的用户账户,并扫描文件以查找隐藏的后门。

Sucuri提供了免费的扫描工具,可以检测大多数Balada Injector变种,建议使用该工具对WordPress安装进行扫描,以确保没有受到攻击。

总结

Balada Injector攻击是一次规模庞大的针对WordPress网站的攻击行动,已经感染了超过17,000个网站。攻击者利用已知漏洞注入了Linux后门,并将受感染的网站重定向到欺诈网站。为了保护自己的网站,建议升级tagDiv Composer插件,保持所有主题和插件的更新,并定期扫描文件以查找隐藏的后门。

相关推荐
張萠飛8 分钟前
Linux的TCP连接数到达2万,其中tcp_tw、tcp_alloc、tcp_inuse都很高,可能出现什么问题
linux·网络·tcp/ip
apcipot_rain35 分钟前
【数据库原理及安全实验】实验一 数据库安装与创建
数据库·安全
神秘的t37 分钟前
javaSE————网络原理
java·网络
爱上大树的小猪1 小时前
【前端安全】模板字符串动态拼接HTML的防XSS完全指南
前端·安全·html
EasyNVR1 小时前
视频分析设备平台EasyCVR视频结构化AI智能分析:筑牢校园阳光考场远程监控网
网络·音视频
独行soc1 小时前
2025年渗透测试面试题总结-某腾某讯-技术安全实习生升级(题目+回答)
java·python·安全·web安全·面试·职场和发展·红蓝攻防
蝎蟹居1 小时前
GB/T 4706.1-2024 家用和类似用途电器的安全 第1部分:通用要求 与2005版差异(1)
人工智能·单片机·嵌入式硬件·物联网·安全
jinan8861 小时前
企业的移动终端安全怎么管理?
大数据·网络·安全·数据分析·开源软件
生命是有光的2 小时前
【中间件安全计划】锚定Tomcat安全基线
安全·中间件·tomcat
W说编程2 小时前
《UNIX网络编程卷1:套接字联网API》第5章 TCP客户服务器程序示例
c语言·网络·网络协议·tcp/ip·unix·tcp