服务器防护_中小网站安全防护_3天试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 服务器防护_中小网站安全防护_3天试用

服务器防护_中小网站安全防护_3天试用

小墨安全管家 2022-06-23 10:00 网站防护 89 ℃
DDoS防御

黑客在为其恶意软件和勒索软件活动寻觅托管服务方面没有咨询题。即使有一家主机提供商被取缔,DDoS高防,特别快就会有三家主机提供商取代他们的位置。

/ex-payment.js/e/tracking.js/cv5/tasking.js/e/ms.css/ext/htc.css/js

所有这些域名都通过精心设计,看起来基本上合法的,假如攻击者成功,那个地点也许有一具更大的活动,大概会产生广泛的阻碍。

随着假期的临近,我们估计对电子商务网站的攻击会增加。黑客正预备利用今后几个月在线购物的增加。

以下是一些示例

一旦解码,我们看到代码正在寻觅用户输入信用卡信息的支付表单。接着,恶意软件试图将此数据发送到cdnpayment[.]com

作为网站所有者,您能够经过保持软件的最新状态或经过使用网站防火墙举行修补来落低风险。这有助于填补框架中的任何安全漏洞。另一项是使用良好的帐户治理,包括密码和最低特权访咨询原则。这两个要素最能爱护您的网站和访咨询者。

IP 185.172.110.203的同一台服务器也许有特别多可疑的域;一些也被谷歌列入黑名单:

托管多个恶意域的服务器

我还对域名服务器举行了一些研究,非常是使用比特币DNS.HOSTING的其他域名。我发觉,Magento恶意软件不仅托管在同一家公司提供的服务器上,DDoS防御,而且也许还涉及勒索软件。

看起来我们在被黑客攻击的Magento网站上找到的原始域名是在2017年6月注册的,CC防御,所以,CC防御,我们能够假设该活动基本活跃了几个月。

我不懂的是,作为恶意软件活动的一部分,会发觉多少域名。每一具恶意域名都通过非常抉择,以使其在网站所有者看来尽大概合法。用于这些域的托管提供商也被用于更多的领域。

我对该服务器上托管的其他域举行了进一步调查,发觉几乎所有域都能够访咨询相同的恶意代码。

让我们从Magento数据库中注入的恶意代码开始,具体在core_config_数据表下。

域名4比特币被恶意使用

apissystem[.]comcodesmagento[.]comcontrolmage[.]comcdnppay[.]com信用评级[.]comcdngoogle[.]comApisManager[.]comverpayments[.]commyageverify[.]com资产负债表[.]comverpayment[.]commagesources[.]公司traskedlink[.]commagejavascripts[.]commjs24[.]comm24js[.]comcdnassels[.]commagescripts[.]pwjscriptscloud[.]com

我们更深入地了解了那个IP地址所在的位置以及存储的其他内容。

依照域名服务器使用的名称,我发觉VPS最有大概是从domains4bitcoins[.]com购买的。看来他们提供的主机能够让恶意用户为使用比特币付费。这有助于攻击者幸免被抓获,因为付款是不可追踪的。

以下是LeaseVPS拥有的IP地址范围:

甚至有大概使用随机足本名获得相同的恶意代码。那个地点有一具例子:

我们查看了此域,看看是否还有更多对于其使用方式的信息。

hxxps://controlmage [.]com/e/tracking.jshxxp://assetsbraln [.]com/e/tasking.jshxxp://codesmagento [.]com/e/tracking.jshxxp://cdngoogle [.]com/e/tracking.js

这是我们发觉的一些十六进制编码的恶意软件:

服务提供商需要采取更多措施,教育他们越来越多的新网站所有者,他们希翼网站托管和开辟中包含安全性。

勒索软件和信用卡刮卡器

在发生事件时,诚信监控服务和专业的事件响应是确保您可以快速响应的最佳方式。

一些用户报告讲,aolonline[.]top下的一封电子邮件被用作勒索的买断电子邮件。aolonline[.]top域名与其他几个涉及勒索软件攻击的域名服务器使用了相同的名称,如Vertickombat[.]top

hxxp://controlmage[.]com/ext/really.pdf

服务器防护_中小网站安全防护_3天试用

不同域上的相同活动

JavaScript正在从mcloudjs[.]com加载恶意软件

以下足本也可在所有域中使用:

Magento数据库注入

在最近的一次调查中,我发觉一段新的恶意代码被用来从受损的Magento网站窃取信用卡信息。

这是注入数据库的JavaScript:

这是对与域cdnpayment[.]关联的IP地址的DNS查询的响应com:

结论


DDoS防御

当前位置:主页 > 网站防护 > 服务器防护_中小网站安全防护_3天试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119