黑客正在开展大规模的黑帽搜索引擎优化 (SEO) 活动,入侵近 15,000 个网站,将访问者重定向到虚假问答论坛。
Sucuri 首先发现了这些攻击,他说每个受感染的站点都包含大约 20,000 个文件,这些文件用作搜索引擎垃圾邮件活动的一部分,其中大多数站点都是 WordPress。
研究人员认为,攻击者的目标是生成足够多的索引页面来增加虚假问答网站的权威,从而在搜索引擎中获得更好的排名
该活动可能会为这些网站做好准备,以备将来用作恶意软件投放程序或网络钓鱼网站,因为即使是在 Google 搜索首页上进行短期操作,也会导致许多感染。
另一种情况是,基于登陆站点上存在“ads.txt”文件,其所有者希望吸引更多流量来进行广告欺诈。
定位 WordPress 网站
Sucuri 报告 说,黑客正在修改 WordPress PHP 文件,例如“wp-singup.php”、“wp-cron.php”、“wp-settings.php”、“wp-mail.php”和“wp-blog” -header.php’,将重定向注入到假货问答讨论论坛。
在某些情况下,攻击者会使用随机或伪合法文件名(如“wp-logln.php”)将自己的 PHP 文件放到目标站点上。
受感染或注入的文件包含恶意代码,可检查网站访问者是否登录 WordPress,如果未登录,则将其重定向到 https://ois.is/images/logo-6.png URL。
但是,浏览器不会从此 URL 发送图像,而是加载 JavaScript,将用户重定向到 Google 搜索点击 URL,将用户重定向到推广的问答网站。
使用 Google 搜索点击 URL 可能会提高 Google 索引中 URL 的性能指标,使其看起来好像网站很受欢迎,希望提高它们在搜索结果中的排名。
此外,通过 Google 搜索点击 URL 重定向会使流量看起来更合法,可能会绕过某些安全软件。
将登录用户以及站在“wp-login.php”的用户排除在外,旨在避免重定向站点管理员,这将导致怀疑和清理受感染站点。
PNG 图像文件使用“window.location.href”函数生成 Google 搜索重定向结果到以下目标域之一:
- en.w4ksa[.]com
- 和平.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.] 商店
- qa.istisharaat[.]com
- en.photolovegirl[.]com
- en.poxnel[.]com
- qa.tadalafilhot[.]com
- questions.rawafedpor[.]com
- qa.elbwaba[.]com
- questions.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
威胁参与者使用多个子域进行上述操作,因此登陆域的完整列表太长,无法在此处包含(1,137 个条目)。有兴趣查看完整列表的人可以 在这里找到。
这些网站中的大多数都将其服务器隐藏在 Cloudflare 后面,因此 Sucuri 的分析师无法了解有关该活动运营商的更多信息。
由于所有站点都使用类似的网站构建模板,并且似乎都是由自动化工具生成的,因此它们很可能都属于相同的威胁参与者。
Sucuri 无法确定威胁参与者如何破坏用于重定向的网站。但是,这可能是通过利用易受攻击的插件或暴力破解 WordPress 管理员密码而发生的。
因此,建议将所有 WordPress 插件和网站 CMS 升级到最新版本,并在管理员帐户上激活双重身份验证 (2FA)。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 15000个网站因大规模谷歌SEO中毒活动而被黑
