- Sucuri 发布了一份报告,通过将网站变成SEO中毒网站来推广恶意问答网站,从而威胁这些网站。
- 重定向是通过 ois[.]is 域完成的,它使用一种不寻常的方式来重定向:.png 图像文件。
- 目前,有近 16,000 个网站被感染,其中大部分是基于WordPress的,并且这个数字还在快速增长。
网站安全公司 Sucuri 发布了一份关于对大多数基于WordPress的网站的持续攻击的报告。根据该报告,恶意行为者目前正在入侵网站,通过ois[.]is将其重定向到虚假问答。
受感染网站的数量正在增长
Sucuri 表示,有近 15,000 个网站在此次活动中受到影响;我们在写这篇文章时检查了PublicWWW 结果,它几乎达到了 16,000。此外,Sucuri自己的SiteCheck 扫描仪在 9 月和 10 月发现了 2,500 多个重定向到ois[.]is的网站。
这个活动的目的看起来像是通过混淆搜索引擎并让他们相信那些是可信的网站来准备一些网站;将它们放在搜索结果中的较高位置。未来它们很可能被用于其他活动,以传播恶意软件或通过网络钓鱼窃取凭据。
每个网站 100 个文件
ois[.]is重定向是通过感染目标网站的大约 100 个文件来实现的;下面列出了最常见的感染者:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
« 如果恶意软件未检测到登录用户或登录尝试,则会注入恶意 JavaScript 代码。目前流通的重定向脚本有两种常见的变体。»
基本重定向的代码如下所示,利用window.location.href和元刷新重定向:
<script>window.location.href='hxxps://ois[.]is/images/logo.png';</script><meta http-equiv='refresh' content='0;URL=hxxps://ois[.]is/images/logo.png'>复杂的版本将信息存储在访问者的浏览器 localStorage 中,因此它们不会每 2 或 6 小时被重定向一次。
这些都被重定向到 .png 文件,在基本变体中命名为logo.png或在复杂变体中命名为logo-X.png(X:1 到 8 之间)。黑客还利用bit.ly 地址来隐藏他们的链接。
重定向目的地
虽然使用 .png 文件启动重定向是一种有趣的方法,但恶意软件使用window.location.href函数重定向到正在为未来活动准备的网站的 Google 搜索结果 URL。Sucuri 已设法确定以下目的地:
- en.w4ksa[.]com
- 和平.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.] 商店
- qa.istisharaat[.]com
- en.photolovegirl[.]com
- en.poxnel[.]com
- qa.tadalafilhot[.]com
- questions.rawafedpor[.]com
- qa.elbwaba[.]com
- questions.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
由于没有发现任何一个漏洞可以帮助黑客实现重定向感染目标,因此 Sucuri 建议网站管理员更改其所有管理员和访问点密码,并更新其所有软件。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 16000个网站被重定向到虚假的SEO问答网站
