一项新的恶意 SEO 活动已成功入侵 15,000 多个 WordPress 网站。该活动的目标是将用户重定向到虚假的问答网站,以增加访问者流量。
超过 15,000 个 WordPress 网站遭到入侵
在新的黑帽重定向活动中,黑客成功入侵了 15,000 多个 WordPress 网站,以提高各种虚假网站的搜索引擎排名。
正如Sucuri 博客文章中所报告的那样,自 2022 年 9 月以来,WordPress 恶意软件重定向站点明显激增。这些重定向站点将用户带到虚假的、低质量的问答门户。仅在 9 月和 10 月期间,黑客就成功攻击了 2,500 多个站点。
安全研究员 Sucuri 迄今已检测到 14 个虚假网站,其服务器被代理隐藏。网站上显示的问题来自其他合法的问答平台。随着 SEO 排名的提高,这些网站可以覆盖更多的人。
虚假问答网站可以传播恶意软件
此重定向活动中使用的虚假网站能够向访问者传播恶意软件。与许多恶意站点不同,这些特定的虚假问答论坛每个站点能够修改 100 多个受感染的文件。这样做并不常见,因为这样更有可能检测到并终止它们。
在上述博文中,Sucuri 表示大多数受感染的文件是核心 WordPress 文件,但也列出了一些最常被感染的文件,所有这些文件都具有 .php 扩展名。受感染的 .php 文件列表如下所示:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri 还强调指出,该恶意软件被发现存在于黑客自己丢弃的一些伪合法文件名中,包括:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
黑客的突破方法可能是易受攻击的插件或暴力破解
Sucuri 尚未发现这些黑帽黑客是如何破坏这些 WordPress 网站的,但据认为易受攻击的插件或暴力攻击是最有可能的罪魁祸首。黑客可能正在使用漏洞利用工具包来寻找插件中的安全漏洞以突出目标。或者,可以使用暴力攻击中的算法破解 WordPress 站点管理员的登录密码。
WordPress 网站是常见的攻击目标
这绝不是 WordPress 网站第一次成为恶意行为者的目标。数以百万计的 WordPress 网站过去曾遭到网络犯罪分子的攻击,毫无疑问,还会有更多网站继续成为此类攻击的受害者。
