云盾高防采集_高防服务器购买_优惠券
邮件
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-11-17 16:05

最初的黑客攻击要求向易受攻击的网站发送包含revslider_AJAX_操作的AJAX请求以及恶意负载。由于攻击的严重性,许多主机部署了ModSecurity来修补和阻止这种攻击。在新的变体中,攻击序列将动作修改为revolution_slider-ajax-action。

从网络中提取的800套凭据中,其中40套是在网站构建的年份中使用的密码(即,如WP_SiteName2016)。虽然记忆密码可能是一种简单的方法,但使用日期会降低密码的熵,ddos攻击防御百度腾讯阿里,从而使其可预测!

我们知道谷歌在达到一定数量的搜索后要求验证码。这些机器人已经设计了一种方法来执行谷歌搜索,避开他们的验证码功能,cc策略防御软件,使他们能够找到并瞄准更易受攻击的网站。此攻击序列可以描述为Denis shared先前攻击的演变。每个机器人利用不同的Google顶级域(TLD)搜索特定的术语和扩展。谷歌拥有200多个域名。这允许攻击者将其搜索范围乘以200。这项技术似乎很有效,在不到两天的时间内从不同站点呈现了800多个数据库凭据。

密码统计

自2012年以来,这一特定脚本一直用于网站黑客攻击,但这种变体的功能非常有限。虽然它可以执行任意命令,但它无法自动执行需要随每个命令发送完整脚本的任务。

此脚本试图从其网络中另一个受感染的服务器部分下载文本文件,执行它,然后删除其自身的所有痕迹。该文件的内容仍然是个谜,因为当我们试图下载它时,高防御ddos服务,它已经从服务器上删除了。根据以前的经验,这可能会迫使我们的网站遭受暴力或DDoS攻击。

在分析我们的网站防火墙日志时,我们发现一个旧的漏洞被重新定位在一个流行的WordPress插件RevSlider中。2014/2015年,这导致了大规模的网站妥协。现在,它再次被用于感染网站的新尝试。修补版(4.2)于2014年2月发布。许多网站仍然过时,并成为新一波攻击的目标。

在分析这种新的利用漏洞变化的过程中,我们花时间查看了它试图沟通的后门具有事实证明,攻击者正在推动僵尸脚本连接到IRC僵尸网络,在那里它将接收来自指挥和控制(C&C)的命令。

尽快修补

在假装成机器人的同时,我们收到了各种要执行的命令:

所有CloudProxy客户都不受这种新变化的影响。

如果您使用易受攻击的RevSlider版本,国内防御cc,请更新or尽快修补!如果您无法修补,我们强烈建议您利用我们的网站防火墙或同等技术进行虚拟修补。

有关密码的更多信息,请通读我们分享一些最佳做法的密码动态文章。

利用目标–Revslider

一旦目标受到攻击,脚本将添加到受攻击的服务器和攻击者网络。

我们的分析师Keir Desaly检测到了这种变体。事实证明,使用revolution slider的某些主题使用不同的文件夹名称来存储其数据,将"revslider"替换为"revolution slider"。由于代码使用插件目录作为其AJAX操作的名称,这允许攻击者更改其攻击,从而成功破坏网站。自漏洞发布以来部署的大多数ModSecurity和prevention技术都在过滤原始攻击,并被认为是静态和过时的。

从使用的dorks中,我们发现他们正在搜索包含易受攻击版本Revslider的WordPress安装。一旦发现易受攻击的目标,cdn和高防服务器,获得管理员访问权限是很简单的。

僵尸网络很常见,它们可以通过网站的资源传播感染,同时构建网状网络以覆盖其踪迹。使用IRC作为指挥中心在僵尸网络中很流行,因为它们易于远距离操作,并提供与机器人的稳定连接。

我们模拟成为这些机器人之一,以监控服务器的活动。这让我们找到了一个小型IRC网络,数十个僵尸泄露了数百个独特的WordPress数据库凭据。监控这个渠道让我们深入了解了它是如何操作机器人来扩大感染率的。

云盾高防采集_高防服务器购买_优惠券