DDOS高防服务_香港高防服务器必选科森网络_零元试用
DDOS
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-11-17 16:17

值得一提的是,cc策略防御软件,所有恶意域名nd子域指向数字海洋网络服务器:46.101.84.214、178.62.37.217、178.62.37.131、178.62.90.65

上一个创建于2月1日,可能是为了解决其他域名的黑名单问题。尽管如此,谷歌已经将其列入黑名单:https://www.google.com/transparencyreport/safebrowsing/diagnostic/?#url=malenkiuniger.org

恶意域

第三级域的使用通常用于"域阴影"这涉及在访问DNS记录后在合法的二级域上添加恶意子域。在这种情况下,我们处理的是专门为此攻击注册的域。

poln1uewt1aniwki[。]ws–创建于2015年12月22日findyourwaytotr[.]净值–创建于2016年1月8日oduvanchiksawa[.]商业——创建于2016年2月1日

先前版本的恶意软件

在下面的屏幕截图中,您可以看到gabosik12345[.]ws域,我在上面没有提到。该域于2015年12月23日由同一个"Vasunya"注册。它与去年秋天注册的一些其他域一起用于此攻击的前一个版本:trymyfinger[.]网站,goroda235[.]pw,suchka46[.]pw等

此恶意软件将多个后门上传到Web服务器上的不同位置,并频繁更新注入的代码。这就是为什么许多网站管理员在清理其.js文件后会不断受到重新感染的原因。

持续重新感染

该恶意软件试图感染所有可访问的.js文件。这意味着,如果您在同一托管帐户上托管多个域,所有域都将通过称为跨站点污染的概念受到感染。仅清理一个站点(例如,您关心的站点)或除一个之外的所有站点(例如,您不关心测试或备份站点)是不够的在这种情况下–一个废弃的站点将成为再次感染的来源。换句话说,您需要隔离每个站点,防御ddos公司,或者同时清理/更新/保护所有站点!

它还在.js文件底部注入了类似的JavaScript代码,还使用了ad cookie="er2vdr5gdc3ds"cookie,ddos攻击防御技术,但iframe URL略有不同,例如:hxxp://static.suchka46[.]pw/?id=6947627&keyword=557334&ad_id=Xn5be4.

我们仍然检测到相当多的网站感染了去年秋天的恶意软件变体:

数字海洋

该恶意软件的显著特征是:

三级域Admedia或在URL的路径部分发布广告(因此我们称此恶意软件为"Admedia iframe注入")URL参数的相同结构,包括始终相同的ad_id–Twiue123.

在这些URL中很容易发现模式:

iframe的URL是代码中唯一变化的部分。

此恶意软件只会感染第一次访问的访问者,高防cdn招代理,它会设置广告cookie cookie(er2vdr5gdc3ds)24小时后过期并注入一个不可见的iframe。

在AS202109(DIGITALOCEAN-ASN-2)上,恶意软件并不常见,因此谷歌仅将与此次攻击相关的域列为已知危险站点的示例也就不足为奇了网络

WHOIS记录显示,在过去两个月内,它们都由"Vasunya"在valera.valera-146@yandex.ru注册:

结尾。加密的部分在不同的站点之间发生变异,但一旦解密,它总是这样:

iframe URL–Admedia/广告

上周末,我们在WordPress感染中发现了一个高峰,黑客在所有合法的.js文件末尾注入了加密代码。

malenkiuniger[.]net–创建于2016年2月1日

在恶意代码的开头和结尾添加了32个十六进制数字的注释。例如,/*e8def60c62ec31519121bfdb43fa078f*/此评论在每个受感染的站点上都是唯一的。很可能是基于域名的MD5哈希。第一条评论紧接着是;窗口["\x64\x6f…"和以十六进制表示的字符串常量的长数组。它总是以".join(\"\");"

hxxp://template.poln1uewt1aniwki[.]ws/admedia/?id=8695834&keyword=85c86e3646fb1b15c0bc0647c257c029&ad_id=twie123hxxp://js.polnue2wtani2wki[.]ws/admedia/?id=8695834&keyword=396f3d9d490aed315d71b60ec1efda53&ad_id=twie123hxxp://get.malenkiuniger[.]net/admedia/?id=8695834&keyword=8580b2135c1fdc0c650156eb174b4985&ad_id=twie123hxxp://track.findyourwaytotr[.]net/admedia/?id=8695834&keyword=46731F99A65CEA12E0632D08E551CA5&ad_id=twie123hxxp://img.oduvanchiksawa[.]商业/广告/?id=5345896&keyword=fd2f2243cd2046d674aeec495cd2e74b&uyijo=86tyh978

,代理服务器防御ddos