流行的网站托管网站WordPress受到黑客攻击利用漏洞tgat允许他们创建流氓管理员帐户。

安全公司Wordfence的研究人员发现,WordPress插件中的已知漏洞已被利用,将恶意JavaScript注入受害站点的前端,导致这些受感染站点的访问者被重定向到可能有害的内容,包括恶意软件删除程序和欺诈性站点。许多游戏负载被攻击者混淆,试图避免被WAF和IDS软件检测到。

Wordfence的研究人员发现了攻击的起源,他们已经确定了与网络托管服务提供商相关的各种IP地址。但是,一旦该问题引起了提供商的注意,大多数知识产权就停止了非法活动,除了一个。

  • 发现WordPress实时聊天的严重缺陷
  • Tumblr卖给了Wordpress 公司
  • WordPress改进了新的安全功能

在一篇解释其发现的博客文章中,Wordfence的Mikey Veenstra解释说,大多数攻击来自一个IP地址,他说:

“有问题的IP地址是104.130.139.134,这是一个Rackspace服务器,目前托管一些可能受到破坏的网站。我们已经与Rackspace联系,告知他们这项活动,希望他们采取行动防止他们网络的进一步攻击。我们还没有回复过。”

WordPress插件漏洞

到目前为止发生的所有攻击都针对以前的NicDark插件中的几个已知漏洞,包括nd-booking,nd-travel和nd-learning。

虽然对该活动的初步研究发现,在访问受害者网站的浏览器中注入了触发恶意重定向或不需要弹出窗口的脚本,但该活动已经通过添加一个试图通过以下方式安装后门进入目标站点的附加脚本而发展。利用管理员的会话。

Wordfence还解释了WordPress网站所有者如何避免成为此活动的受害者说:

“与往常一样,更新WordPress网站上的插件和主题是防范这类广告的绝佳方法。经常检查您的网站是否需要更新,以确保您在发布时收到最新的补丁。Wordfence用户会定期收到电子邮件,通知他们何时有更新。“