最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

15000个网站因大规模谷歌SEO中毒活动而被黑

网络安全 快米云 来源:快米云 21浏览

谷歌攻击

黑客正在开展大规模的黑帽搜索引擎优化 (SEO) 活动,入侵近 15,000 个网站,将访问者重定向到虚假问答论坛。

Sucuri 首先发现了这些攻击,他说每个受感染的站点都包含大约 20,000 个文件,这些文件用作搜索引擎垃圾邮件活动的一部分,其中大多数站点都是 WordPress。

研究人员认为,攻击者的目标是生成足够多的索引页面来增加虚假问答网站的权威,从而在搜索引擎中获得更好的排名

此活动推广的虚假问答网站
此活动推广的虚假问答网站 (Sucuri) Source (news.zzqidc.com)

该活动可能会为这些网站做好准备,以备将来用作恶意软件投放程序或网络钓鱼网站,因为即使是在 Google 搜索首页上进行短期操作,也会导致许多感染。

另一种情况是,基于登陆站点上存在“ads.txt”文件,其所有者希望吸引更多流量来进行广告欺诈。

定位 WordPress 网站

Sucuri 报告 说,黑客正在修改 WordPress PHP 文件,例如“wp-singup.php”、“wp-cron.php”、“wp-settings.php”、“wp-mail.php”和“wp-blog” -header.php’,将重定向注入到假货问答讨论论坛。

在某些情况下,攻击者会使用随机或伪合法文件名(如“wp-logln.php”)将自己的 PHP 文件放到目标站点上。

受感染文件之一中的恶意代码
受感染文件之一中的恶意代码 (Sucuri)Source (news.zzqidc.com)

受感染或注入的文件包含恶意代码,可检查网站访问者是否登录 WordPress,如果未登录,则将其重定向到 https://ois.is/images/logo-6.png URL。

但是,浏览器不会从此 URL 发送图像,而是加载 JavaScript,将用户重定向到 Google 搜索点击 URL,将用户重定向到推广的问答网站。

生成虚假 Google 搜索事件的代码
生成虚假 Google 搜索事件的代码 (Sucuri)Source (news.zzqidc.com)

使用 Google 搜索点击 URL 可能会提高 Google 索引中 URL 的性能指标,使其看起来好像网站很受欢迎,希望提高它们在搜索结果中的排名。

此外,通过 Google 搜索点击 URL 重定向会使流量看起来更合法,可能会绕过某些安全软件。

将登录用户以及站在“wp-login.php”的用户排除在外,旨在避免重定向站点管理员,这将导致怀疑和清理受感染站点。

PNG 图像文件使用“window.location.href”函数生成 Google 搜索重定向结果到以下目标域之一:

  • en.w4ksa[.]com
  • 和平.yomeat[.]com
  • qa.bb7r[.]com
  • en.ajeel[.] 商店
  • qa.istisharaat[.]com
  • en.photolovegirl[.]com
  • en.poxnel[.]com
  • qa.tadalafilhot[.]com
  • questions.rawafedpor[.]com
  • qa.elbwaba[.]com
  • questions.firstgooal[.]com
  • qa.cr-halal[.]com
  • qa.aly2um[.]com

威胁参与者使用多个子域进行上述操作,因此登陆域的完整列表太长,无法在此处包含(1,137 个条目)。有兴趣查看完整列表的人可以 在这里找到

这些网站中的大多数都将其服务器隐藏在 Cloudflare 后面,因此 Sucuri 的分析师无法了解有关该活动运营商的更多信息。

由于所有站点都使用类似的网站构建模板,并且似乎都是由自动化工具生成的,因此它们很可能都属于相同的威胁参与者。

Sucuri 无法确定威胁参与者如何破坏用于重定向的网站。但是,这可能是通过利用易受攻击的插件或暴力破解 WordPress 管理员密码而发生的。

因此,建议将所有 WordPress 插件和网站 CMS 升级到最新版本,并在管理员帐户上激活双重身份验证 (2FA)。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 15000个网站因大规模谷歌SEO中毒活动而被黑