Huy Manh Blog
@manhpro

NGUY CƠ SẬP WEB TỪ NHỮNG HACKER PLUGIN

Tội phạm mạng sử dụng các plugin WordPress giả mạo để tạo backtime trong các trang web bị xâm nhập

Các nhà nghiên cứu bảo mật từ công ty bảo mật và bảo mật web Sucuri đã phát hiện ra rằng tội phạm mạng đang sử dụng các plugin độc hại, ẩn trong tầm nhìn rõ ràng và đóng vai trò là cửa hậu, để có quyền truy cập và duy trì chỗ đứng trên các trang web WordPress .

Công ty phát hiện ra rằng hai trong số các plugin giả mạo này có chức năng cửa sau, được đặt tên là initatorseo hoặc updrat123 bởi người tạo ra chúng, đã được quan sát nhân bản chức năng của sao lưu và khôi phục plugin WordPress UpdraftPlus phổ biến .

Các plugin giả có thể dễ dàng được tạo bằng các công cụ tự động hoặc bằng cách tiêm các tải trọng độc hại như vỏ web trong mã nguồn của các plugin hợp pháp. Các plugin độc hại này cũng không hiển thị bên trong bảng điều khiển WordPress của trang web bị xâm nhập vì chúng được thiết kế để tránh xa tầm nhìn.

  • Lỗ hổng nghiêm trọng trong trò chuyện trực tiếp trên WordPress được phát hiện
  • Tin tặc công bố chi tiết về lỗ hổng Magento quan trọng
  • Đây là những dịch vụ giám sát dịch chuyển trang web tốt nhất

Các nhà nghiên cứu của Sucuri đã phát hiện ra rằng các plugin sẽ chỉ thông báo sự hiện diện của chúng cho kẻ tấn công nếu chúng truy vấn trang web bằng cách sử dụng yêu cầu GET với các tham số tùy chỉnh như inititiactivity hoặc testskey.

Plugin WordPress giả

Mục đích chính của các plugin giả mạo này là hoạt động như các cửa hậu trên các trang web WordPress bị xâm nhập, thậm chí cung cấp cho kẻ tấn công quyền truy cập vào máy chủ sau khi virut lây nhiễm ban đầu bị xóa.

Những kẻ tấn công sau đó sử dụng các cửa hậu này để tải lên các tệp tùy ý cho các mục đích độc hại đến các máy chủ của trang web bị nhiễm bằng các yêu cầu POST. Các yêu cầu này chứa các tham số với thông tin về URL vị trí tải xuống, đường dẫn nơi các tệp sẽ được ghi và tên mà theo đó các tệp sẽ bị loại bỏ.

Sucuri’s lưu ý rằng những kẻ tấn công cũng đã bỏ các web shell, các tập lệnh độc hại cung cấp quyền truy cập từ xa vào máy chủ, tại các vị trí ngẫu nhiên trên các máy chủ của các trang web bị xâm nhập. Các tập lệnh được đặt tên ngẫu nhiên cũng được tải lên các thư mục gốc của trang web để cung cấp cho kẻ tấn công khả năng khởi động các cuộc tấn công chống lại các trang web khác.

Trong một bài đăng trên blog, Sucuri’s Denis Sinegubko đã giải thích rằng việc chỉ làm sạch các phần nhiễm có thể nhìn thấy là không đủ sau khi trở thành nạn nhân của một cuộc tấn công.

Mặc dù không có cách tiếp cận nào được sử dụng bởi cuộc tấn công này là mới, nhưng nó cho thấy rõ cách làm sạch chỉ những phần có thể nhìn thấy của nhiễm virut là không đủ. Tin tặc muốn duy trì quyền truy cập vào các trang web miễn là có thể. Để thực hiện điều này, họ tải lên các cửa hậu khác nhau vào các tệp ngẫu nhiên nằm rải rác trên toàn bộ trang web. Đôi khi, các cửa hậu xuất hiện dưới dạng các plugin WordPress thậm chí có thể không nhìn thấy được từ giao diện quản trị viên. Ngoài ra, các trang web bị xâm nhập có thể được sử dụng cho hoạt động độc hại hoàn toàn vô hình từ bên ngoài, bao gồm DDoS và các cuộc tấn công vũ phu, gửi hàng tấn thư rác hoặc mật mã. Chỉ kiểm soát toàn vẹn hệ thống tệp và quét bảo mật phía máy chủ mới có thể giúp phát hiện loại phần mềm độc hại này.

  • Ngoài ra hãy kiểm tra phần mềm chống vi-rút tốt nhất
https://wWw.huymanh.info

Mình là Mạnh. Người thích tự do, thích du lịch 1 mình, thích khám phá và sáng tạo. Đôi khi hay nghĩ ra những trò điêng điêng. Đam mê công nghệ, thích chia sẻ kinh nghiệm, kỹ năng, kiến thức mình có đến tất cả mọi người.

Comments are closed.