ddos盾_服务器托管高防_想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > ddos盾_服务器托管高防_想法

ddos盾_服务器托管高防_想法

小墨安全管家 2022-06-22 19:50 高防服务器 89 ℃
DDoS防御

这些插件安装请求特别大概是自动完成的。从打开登录页面到彻底安装和激活插件只需10-20秒。这些安装请求要紧来自随机IP,但我们列出了一些参与此攻击的IP地址:95.221.199.162、186.95.168.192、220.79.30.57、1.179.244.194。这些请求使用假冒的Firefox用户代理,如"Mozilla/5.0(Windows NT 6.1;Win64;x64;rv:50.0)Gecko/20100101 Firefox/4912",并包括奇怪的随机3-4位数版本的Firefox,如4912或793A,但目前最新版本的Firefox仅为58.0.1(Firefox/58.0)

恶意插件具有很相似的文件结构:

缓解

2。黑客登录WordPress安装插件。这意味着他们要么懂您的治理员密码,要么为自个儿创建了恶意治理员用户,DDoS高防,所以您必须执行以下操作:

日志分析

injectscr插件注入了一具类似的含糊足本:

2018年2月8日,我们注意到新一波WordPress感染涉及两个恶意插件:injectbody和injectscr。这些插件注入含糊的足本,创建不需要的弹出窗口/弹出窗口。每当访咨询者点击受感染网页上的任何地点,都会收到可疑广告。

有很多想法能够缓解这种感染的一些风险。

ddos盾_服务器托管高防_想法

2.2. 查看用户列表,尤其是具有治理员角色的用户。您绝对应该删除任何具有以下登录名的用户:INJECTBODY_uuuadmin或INJECTSCR_uuadmin.

Injectscr.php:1319字节(插件代码)inject.txt:3906字节(注入的JavaScript)

插件代码

当弹出窗口打开时,足本设置"clickund_expert=1"cookie一小时,并从onlick事件处理程序中删除。

3。确保您的站点没有感染与这些攻击者相关的旧类型恶意软件,或者任何其他恶意软件。请务必留意任何后门,因为它们经常会导致网站再次感染。

2.1。尽快更改所有WordPress密码(至少针对治理员)

它添加一具带有"ca8b3984fdf6c76dc2fe3325feb58eba"的Viglink ad足本页面的键。

Injectbody.php:2146字节(插件代码)inject.txt:2006字节(注入JavaScript)

在分析受感染网站的日志后,防DDoS,我们发觉攻击者在登录WordPress dashboard后添加了插件:

Injectbody

该足本添加了一具"onclick"处理程序,DDoS防御,该处理程序打开一具带有以下URL的弹出窗口:hxxp://1aqy.xn--o1aqy[.]xn--p1ai/stats/fri.php?affid=79803这不过广告重定向链中的第一步。

让我们看看这些插件的简短代码:

我们的研究人员基本确定了一些带有injectbody/injectscr插件的网站,这些插件往常在1月份感染过相关感染。该恶意软件使用上传的文件发送了大量垃圾邮件,这些文件的随机名称为"class mailer.php"、"wp scsys.php"、"wpn sops.php"、"wp sclouds.php",等。攻击还在服务器上的随机位置创建了后门和文件上载足本。

wp content/plugins/Injectscr/

注入足本

wp content/plugins/Injectbody/

正如你所看到的,这两个插件都包含躲藏其存在的函数:injectscr_hide和injectbody_hide。这些函数从活动插件列表中删除恶意插件。惟独攻击者能够使用恶意治理员用户INJECTBODY\uuuu admin或INJECTSCR\uuuu admin登录WordPress,或者使用合法的治理员凭据并在URL中附加"?INJECTBODY\uuuuu admin=1"或"?INJECTSCR\uuuuu admin=1"猎取参数,可以在受感染的网站上检测这些恶意插件的存在。

Injectscr

1。不要依靠于你在WordPress治理界面中看到的东西,因为一些活动插件大概对你躲藏。请手动检查wp内容/插件是否存在任何不应存在的内容。假如找到,您应该删除wp-content/plugins/injectbody/和wp-content/plugins/injectscr/

一旦网站被感染,躲藏的injectbody插件开始向网站页面注入含糊的足本:

这些插件的功能也很相似。正如他们的名字所暗示的,DDoS防御,他们从inject.txt注入足本,并在WordPress仪表板的插件列表中躲藏他们的存在。

插件位置

相关感染


DDoS防御

当前位置:主页 > 高防服务器 > ddos盾_服务器托管高防_想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119