导语
最近,一场名为Balada Injector的攻击活动引起了广泛关注。这次攻击以WordPress网站为目标,据统计,有超过17,000个网站受到了感染。在本文中,我们将详细介绍这次攻击的概述、攻击手段以及如何保护自己的网站。
攻击概述
Balada Injector是一个规模庞大的攻击行动,由Dr. Web于2022年12月发现。攻击者利用已知的WordPress插件和主题漏洞,注入了Linux后门,从而感染了超过17,000个WordPress网站。这些受感染的网站会将访问者重定向到虚假的技术支持页面、欺诈性彩票中奖页面和推送通知诈骗页面。因此,可以说这次攻击既可能是一场诈骗活动,也可能是一项向骗子出售的服务。
根据Sucuri在2023年4月的报告,Balada Injector自2017年以来一直活跃,并估计已感染近百万个WordPress网站。攻击者利用了tagDiv Composer的CVE-2023-3169跨站脚本攻击(XSS)漏洞,该漏洞存在于tagDiv的Newspaper和Newsmag主题的WordPress网站中。根据公开的EnvatoMarket统计数据,Newspaper主题销量达到了137,000个,Newsmag主题销量超过18,500个,因此攻击面达到了155,500个网站,这还不包括盗版副本。
攻击手段
最新的攻击活动针对CVE-2023-3169漏洞开始于9月中旬,该漏洞的详细信息和PoC(攻击验证代码)已经公开。这些攻击的特点是在特定标签中注入恶意脚本,并将注入代码隐藏在网站数据库的’wp_options’表中。同时,攻击者还通过注入代码到网站模板中,将用户重定向到受攻击者控制的欺诈网站。
在当时,tagDiv的一位代表证实他们意识到了这个漏洞,并告诉人们安装最新的主题以防止受到攻击。他解释道:“我们意识到了这些情况。恶意软件可能会影响使用旧版本主题的网站。除了更新主题之外,建议立即安装诸如wordfence之类的安全插件,并扫描网站。还要更改所有网站密码。”
根据Sucuri的报告,Balada Injector在2023年9月已经感染了超过17,000个WordPress网站,其中超过一半(9,000个)是通过利用CVE-2023-3169漏洞实现的。这些攻击波次迅速优化,表明攻击者可以迅速调整技术手段以达到最大的影响。
保护措施
为了防范Balada Injector攻击,建议升级tagDiv Composer插件至4.2版本或更高版本,以修复已知漏洞。此外,保持所有主题和插件的更新,删除未使用的用户账户,并扫描文件以查找隐藏的后门。
Sucuri提供了免费的扫描工具,可以检测大多数Balada Injector变种,建议使用该工具对WordPress安装进行扫描,以确保没有受到攻击。
总结
Balada Injector攻击是一次规模庞大的针对WordPress网站的攻击行动,已经感染了超过17,000个网站。攻击者利用已知漏洞注入了Linux后门,并将受感染的网站重定向到欺诈网站。为了保护自己的网站,建议升级tagDiv Composer插件,保持所有主题和插件的更新,并定期扫描文件以查找隐藏的后门。
