۲ هزار سایت وردپرسی آلوده شدند

مهر

بروزرسانی 1398/11/15 - 19:34

مهر/ بيش از ۲ هزار وب‌سايت ‫وردپرس آلوده به جاوااسکريپت مخربي هستند که بازديدکنندگان سايت را به وب‌سايت‌هاي تقلبي هدايت مي‌کنند و شرايطي فراهم مي‌سازند که بعدا بدافزار بيشتري دانلود شود. به نقل از مرکز ماهر، دسترسي به وب‌سايت‌هاي وردپرس از طريق سوءاستفاده از آسيب‌پذيري‌هاي پلاگين‌هاي مختلفي همچون Simple Fields و CP Contact Form با PayPal حاصل مي‌شود. اوج اين فعاليت‌هاي مخرب در هفته‌ سوم ماه ژانويه سال ۲۰۲۰ روي داده است. پس از ورود به سايت وردپرس، ابتدا جاوااسکريپت، بازديدکننده را به ۴ وب‌سايت مخرب gotosecond۲[.]com، adsformarket[.]com، admarketlocation[.]com و admarketlocation[.]com هدايت مي‌کند. سپس لينک statistic[.]admarketlocation[.]com/clockwork?&se_referrer= يا track[.]admarketresearch[.]xyz/?track&se_referrer= در سايت WordPress بارگذاري مي‌شود تا خرابکاري نهايي جاوااسکريپت مخرب را ارائه دهد. اين اقدام آخر بسيار مشکل‌ساز است، زيرا به مهاجم اجازه مي‌دهد تغييرات بيشتري در سايت ايجاد کند يا بدافزار بيشتري همچون درب‌پشتي‌هاي PHP و ابزار هک را جهت کمک به حفظ پايداري‌شان وارد کند. همچنين مشاهده شده است که مهاجمان از ويژگي‌هاي /wp-admin/ براي ساخت دايرکتورهاي جعلي پلاگين که شامل بدافزار بيشتري است سوءاستفاده مي‌کنند. رايج‌ترين دايرکتورهاي جعلي پلاگين که توسط محققان کشف شده‌اند عبارت از /wp-content/plugins/supersociall//supersociall.php و wp-content/plugins/blockspluginn/blockspluginn.php مي شود. مرکز ماهر به صاحبان وب‌سايت‌ها توصيه کرده که تغيير پوشه‌هاي اصلي را غيرفعال سازند؛ اين امر مانع از درج فايل‌هاي مخرب توسط هکرها مي‌شود، يا بخشي از سخت‌افزاري‌کردن امنيت وردپرس و بهترين روش امنيتي را به کار گيرند.