文档章节

大型僵尸网络攻击WordPress和Joomla

小猪猪的风
 小猪猪的风
发布于 2013/08/25 11:40
字数 969
阅读 152
收藏 1
   两大僵尸网络正在使用或瞄准了各种内容管理系统,包括非常流行的WordPress博客平台和Joomla网站平台。目前已经发现了6个命令与控制服务器,在超过25,000台受感染的Windows机器上运行,这些机器被用来不断尝试密码组合来暴力攻击CMSs。

两大僵尸网络正在使用或瞄准了各种内容管理系统,包括非常流行的WordPress博客平台和Joomla网站平台。企业和服务供应商网络安全和管理解决方案领先供应商Arbor Networks指出,最近的一次行动开始于2013年5月底,行动名称为“Fort Disco”。 Arbor公司已经发现了6个命令与控制服务器,在超过25,000台受感染的Windows机器上运行,这些机器被用来不断尝试密码组合来暴力攻击CMSs。

迄今为止,有6,000多台安装了WordPress博客平台、Joomla网站平台和Datalife Engine商业CMS系统的机器受到了危害。Arbor深刻理解此次行动的意义,因为在“Fort Disco”行动之后留下了一些可以公开获取的日志文件。尽管存在这方面疏忽,僵尸系统主网站还是使用了一些半智能恶意软件来逃避侦查。

他们至少使用了4种恶意软件,这些软件会接受指令并把重点放在目标网站,其中包含5,000到10,000个之间的一个时间变量列表。另一条指令会告诉软件该使用什么密码,有时还会对密码提供统一资源定位器(URL)。僵尸系统主网站将获得成功非法闯入的返回报告。

在788个案例中,目标网站上被安装了PHP文件后门,允许攻击者浏览文件系统、上传或下载文件以及在受感染的服务器上执行命令。Arbor公司的Matthew Bing说道:“通过向受害站点上传PHP shell脚本,攻击者可以轻而易举地向千万个受害网站发布指令。”

在一些网站上,有一个重定向器向用户发送Styx透代码工具包。Arbor公司认为,攻击者正在吸纳CMSs和博客平台为僵尸网络的一部分为将来的攻击做准备。

Arbor公司认为,侵入者的总部在苏联国家。大多数目标网站都设在俄罗斯或乌克兰境内,而所有的指挥控制网站都在这两个国家。恶意软件一开始是怎样侵入到机器当中的,这仍然是个未解之谜。“我们能够看出,恶意软件原始文件名(maykl_lyuis_bolshaya_igra_na_ponizhenie.exe)的含义与Michael Lewis俄文版的书《以大见小:末日机器》有关,该文件带有可执行的附件。”

“另一个文件名(proxycap_crack.exe)指的是ProxyCap程序的破裂。目前尚不清楚受害者是否曾被引诱运行这些文件。如果是的话,这就是唯一的感染途径。关于感染机理,C&C 网站并未提供任何附加的线索。”

成千上万以WordPress博客平台、Drupal系统、Joomla网站平台为基础的受害网站正在成为滥发垃圾邮件的僵尸网站的一部分。受害网站包含有效载荷链接和垃圾邮件脚本,并发送给用户以传播恶意软件。

据悉,有195,000域和IP地址受到感染,变成StealRat垃圾邮件僵尸网路的一部分。该公司在本周发表的博客中说道:“这些受害网站的共同点是它们都使用脆弱的CMS运行软件。”

 

本文转载自:http://www.safedog.cn/news.html?id=999

小猪猪的风
粉丝 14
博文 360
码字总数 60296
作品 0
厦门
私信 提问
数百个 WordPress 站点集体被黑

M86安全实验室今天警告称一经发现有数百个基于WordPress的网站和博客被黑,主要影响版本3.2.1,表现在注入代码并将用户重定向到恶意网站中。攻击者还特别设定了安全策略,绕过垃圾邮件过滤器...

红薯
2012/02/01
3.8K
24
看看印尼黑客如何利用电影大片进行网络攻击

  网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。       攻击第...

FreeBuf
2018/06/27
0
0
大批 WordPress 网站被渗透 ,成为 DDOS 攻击源

近日,Sucuri的安全研究人员发现,数万WordPress站点被利用于实施第7层DDos攻击。共有两万六千个不同的WordPress站点持续向同一个网站以每秒一万到一万一千次的频率发送HTTPS请求,最多时能达...

oschina
2016/02/26
5.7K
30
Shellshock 漏洞面临失控,雅虎和WinZip中招

安全研究人员 Jonathan Hall近日声称发现了一个罗马尼亚黑客搭建的僵尸网络,利用Shellshock漏洞控制了大量知名互联网公司的服务器,包括雅虎和压缩工具软件WinZip的官网。 Jonathan Hall最近...

oschina
2014/10/09
4.1K
20
知名云服务商Akamai发布撞库攻击报告 揭露互联网安全现状

     2018年《互联网现状/安全—撞库攻击》报告基于2018年5月到6月之间在Akamai Intelligent Edge Platform上发生的超过83亿次的恶意登录尝试。该报告对最新僵尸网络策略和趋势进行了研究...

嘶吼RoarTalk
2018/09/25
0
0

没有更多内容

加载失败,请刷新页面

加载更多

揭秘阿里云背后神秘而富有能量的一群人

作为某创业公司CTO兼CTO兼CFO,带领众子弟行走于云端计算,累计犒赏已达757157.09银两,江湖人称紫龙,就是众多阿里云大使中低调内敛的一位。其话不多,一个典型的技术男,但又热心钻研传播推...

阿里云云栖社区
35分钟前
2
0
深入浅出Mybatis系列(一)---Mybatis源码分析环境准备

Mybatis源码分析环境准备 源码下载地址: https://blog.mybatis.org/p/products.html 把下载好多源码导入idea 之后可以在Test包下进行源码分析 这里我们就把源码分析的环境准备好了,下一篇文...

须臾之余
51分钟前
1
0
使用JDK的观察者接口进行消息推送

观察者模式就是对对象内部的变化进行观察,当发生改变时做出相应的响应。代码样例见 设计模式整理 ! 因为观察者模式较为重要,使用频率较高,JDK早已经提供了内置的观察者接口以及被观察者父...

算法之名
今天
16
0
supervisor的配置与laravel php artisan queue:work的配置

安装环境 centos 7.2 安装supervisor easy_install supervisor echo_supervisord_conf > /etc/supervisord.conf 配置supervisor 如下 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20......

bengozhong
今天
2
0
DevExpress Winforms Controls:安装使用系统要求文档

【DevExpress WinForms v19.1下载】 本文档包含了有关安装和使用DevExpress WinForms控件的系统要求信息。 .NET Framework 下图展示了支持的.NET Framework版本。 Microsoft已发布.NET Fram...

FILA6666
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部