HackerNews 编译,转载请注明出处:
一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷,攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。
网络安全公司c/side的研究人员在对一家客户的事件响应中发现,恶意活动利用wp3[.]xyz域名进行数据外泄,但尚未确定最初的感染途径。
在攻击目标沦陷后,从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户,其凭据直接写在代码中。
创建非法管理员账户(图片来源:c/side)
随后,脚本会从同一域名下载恶意插件(plugin.php),并在沦陷网站上激活它。
据c/side称,该插件旨在收集敏感数据,如管理员凭据和日志,并以一种混淆方式将其发送到攻击者服务器,伪装成图片请求。
攻击还包括多个验证步骤,如在创建非法管理员账户后记录操作状态,并验证恶意插件的安装情况。
阻止攻击
c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。
此外,管理员应审查其他特权账户和已安装插件的列表,识别未经授权的活动,并尽快删除。
最后,建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间,以限制其有效期。
同时,为已泄露凭据的账户实施多因素身份验证,也可增强账户安全性。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
