黑客修改WordPress核心文件,劫持網站流量
責編:mhshi |2016-10-17 14:18:30最令站長頭疼的事莫過于自己的網站被黑。如果沒有合適的安全措施,即便站長再怎么用心,也會失去網站的控制權。黑客入侵網站之后,可以在上面搭載釣魚頁面,傳播惡意軟件,盜取敏感信息等。在這篇文章中,我們將會看到一個網站被用來傳播有關Windows序列號的廣告內容。
垃圾內容和黑名單
近期,我們分析了一個被重定向到第三方域名的網站。黑客通常利用這種類型的惡意跳轉,劫持網站流量,重定向到其它網站。
黑客攻擊網站傳播垃圾內容,出于兩個目的:
- 利用你的用戶提高影響力和產生流量
- 欺騙搜索引擎提高他們自己網站的排名
暫且不論他們的動機,這些垃圾內容會影響你的網站的用戶和聲譽。
很不幸,許多站長直到收到來自用戶的反映、被加入黑名單,或者在搜索引擎結果頁面(Search Engine Result Pages ,SERP)上被加上警告標記時,才察覺他們的網站被黑。當Google懷疑某個網站在發布垃圾內容,他們會在SERP中添加如下標記:
可以在這里了解更多關于這個標記的知識。
為了解決這一問題,站長需要按照這個步驟來移除SERP的警告。如果攻擊者用網站來傳播惡意軟件等不正當活動,Google會將該網站加入黑名單,給訪問者顯示如下頁面:
修改核心文件
如果幸運的話,站長可以快速識別出攻擊。但不幸的是,攻擊往往會潛伏幾天甚至幾周。黑客不斷研究新的方法調整和隱藏他們的惡意內容,導致站長難以及時發現。
有一位站長發現他的網站把訪客重定向到一個惡意域名,如下:
??? “windows7keyonsale.com/windows-8-c-9.html”
“allsoftwaredownload.com/windows-8-1-product-key-generator/”
訪客被重定向到攻擊者的域名之后,會看到下面的圖片:
這太糟了,原來的網站并不是售賣Windows序列號的。
黑客插入了一些代碼,執行重定向,如下:
規避搜索引擎
這段代碼做了什么?除了加載惡意頁面并展示給用戶之外,它還試圖規避搜索引擎的檢測。此類重定向的目的一般是,在站長不知情的情況下將流量定向到自己的域名。為了讓攻擊隱藏得更深,他們還會規避Google這樣的搜素引擎。
為了阻止Google將頁面標記為惡意,這段代碼試圖規避這一危險。如果SERP顯示了警告信息,搜索者就不大可能點擊它了,這會導致攻擊失效。
監測和保護
每分鐘都有網站重定向,插入垃圾內容,網站資產受到影響。我們也發現另外一個被黑的網站,攻擊者修改了CMS的核心文件,執行惡意活動。如果你有文件完整性監測工具,并且做了備份,就可以很容易恢復到網站的正常狀態。仔細檢查日志也很重要,可以找到被攻擊的起點,防止再次遭受攻擊。就防御而言,最好使用web應用防火墻,以及修改密碼。
上一篇:NSA如何破解數萬億份加密連接
下一篇:瑞星:未來中國信息安全趨勢展望