-
09/04/2020
-
85
-
553 bài viết
GoDaddy kiểm duyệt lại hàng trăm trang web chỉ trong một ngày
Các chuyên gia an ninh mạng đã phát hiện sự gia tăng đột biến về lây nhiễm backdoor trên các trang web WordPress được lưu trữ trên dịch vụ Managed WordPress của GoDaddy, tất cả đều có tải trọng backdoor giống nhau.
Điều này ảnh hưởng đến các nhà cung cấp dịch vụ Internet như MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet và Host Europe Managed WordPress.
Wordfence (nhóm các nhà nghiên cứu của WordPress) lần đầu thấy dấu hiệu vào ngày 11 tháng 3 năm 2022, với 298 trang web bị lây nhiễm bởi backdoor trong vòng 24 giờ, 281 trong số đó được lưu trữ trên GoDaddy.
Theo dõi lây nhiễm backdoor (Wordfence)
Backdoor lây nhiễm tất cả các trang web là một công cụ đầu độc SEO tìm kiếm của Google năm 2015, được cấy vào wp-config.php để tìm nạp các mẫu link spam từ máy chủ C2, được sử dụng để đưa các trang độc hại vào kết quả tìm kiếm.
Chiến dịch chủ yếu sử dụng các mẫu thư rác về lĩnh vực dược phẩm, được gửi cho khách hàng truy cập các trang web bị xâm phạm. Mục tiêu của các mẫu này là lôi kéo nạn nhân mua các sản phẩm giả mạo, mất tiền oan và “dâng tiền” cho những kẻ tấn công.
Ngoài ra, kẻ tấn công có thể gây hại đến danh tiếng của trang web bằng cách thay đổi nội dung của trang web, nhưng dường như đây không phải là mục đích của chúng tại thời điểm này.
Loại tấn công này khó bị phát hiện và ngăn chặn hơn từ phía người dùng do việc này diễn ra trên máy chủ, chứ không phải trên trình duyệt. Như vậy, các công cụ an ninh mạng cho Internet cục bộ sẽ không phát hiện ra bất kỳ điều gì đáng ngờ.
Tháng 11 năm 2021, GoDaddy đã tiết lộ một vi phạm dữ liệu ảnh hưởng đến 1,2 triệu khách hàng và nhiều nhà cung cấp dịch vụ Managed WordPress, bao gồm cả MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet và Host Europe Managed WordPress như đã nêu trên.
Backdoor bị mã hóa (Wordfence)
Vi phạm này liên quan đến việc truy cập trái phép vào hệ thống cung cấp các trang web WordPress được quản lý của công ty. Do đó, không khó để nhận ra hai sự vụ này có liên quan đến nhau.
Nếu trang web của bạn được lưu trữ trên nền tảng Managed WordPress của GoDaddy, hãy quét tệp wp-config.php để xác định vị trí có khả năng đưa vào backdoor. Sau khi loại bỏ backdoor, quản trị viên cũng nên ưu tiên loại bỏ các kết quả của công cụ tìm kiếm thư rác.
Điều này ảnh hưởng đến các nhà cung cấp dịch vụ Internet như MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet và Host Europe Managed WordPress.
Wordfence (nhóm các nhà nghiên cứu của WordPress) lần đầu thấy dấu hiệu vào ngày 11 tháng 3 năm 2022, với 298 trang web bị lây nhiễm bởi backdoor trong vòng 24 giờ, 281 trong số đó được lưu trữ trên GoDaddy.
Theo dõi lây nhiễm backdoor (Wordfence)
Backdoor lây nhiễm tất cả các trang web là một công cụ đầu độc SEO tìm kiếm của Google năm 2015, được cấy vào wp-config.php để tìm nạp các mẫu link spam từ máy chủ C2, được sử dụng để đưa các trang độc hại vào kết quả tìm kiếm.
Chiến dịch chủ yếu sử dụng các mẫu thư rác về lĩnh vực dược phẩm, được gửi cho khách hàng truy cập các trang web bị xâm phạm. Mục tiêu của các mẫu này là lôi kéo nạn nhân mua các sản phẩm giả mạo, mất tiền oan và “dâng tiền” cho những kẻ tấn công.
Ngoài ra, kẻ tấn công có thể gây hại đến danh tiếng của trang web bằng cách thay đổi nội dung của trang web, nhưng dường như đây không phải là mục đích của chúng tại thời điểm này.
Loại tấn công này khó bị phát hiện và ngăn chặn hơn từ phía người dùng do việc này diễn ra trên máy chủ, chứ không phải trên trình duyệt. Như vậy, các công cụ an ninh mạng cho Internet cục bộ sẽ không phát hiện ra bất kỳ điều gì đáng ngờ.
Liệu đây có phải tấn công chuỗi cung ứng?
Vector xâm nhập chưa được xác định, dù đang bị nghi ngờ là một cuộc tấn công chuỗi cung ứng. GoDaddy vẫn chưa có phản hồi về vụ việc.Tháng 11 năm 2021, GoDaddy đã tiết lộ một vi phạm dữ liệu ảnh hưởng đến 1,2 triệu khách hàng và nhiều nhà cung cấp dịch vụ Managed WordPress, bao gồm cả MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet và Host Europe Managed WordPress như đã nêu trên.
Backdoor bị mã hóa (Wordfence)
Vi phạm này liên quan đến việc truy cập trái phép vào hệ thống cung cấp các trang web WordPress được quản lý của công ty. Do đó, không khó để nhận ra hai sự vụ này có liên quan đến nhau.
Nếu trang web của bạn được lưu trữ trên nền tảng Managed WordPress của GoDaddy, hãy quét tệp wp-config.php để xác định vị trí có khả năng đưa vào backdoor. Sau khi loại bỏ backdoor, quản trị viên cũng nên ưu tiên loại bỏ các kết quả của công cụ tìm kiếm thư rác.
Theo Bleepingcomputer