来自 网络 2021-05-03 00:11 的文章

服务器高防_国内高防vps_秒解封

服务器高防_国内高防vps_秒解封

妥协的WordPress活动-间谍软件版[更新-2015年10月9日]多个Drupal和Joomla站点受影响。。我们两周前写的间谍软件活动仍然活跃,尽管被感染的网站数量已经下降。我们也看到了另外两个流行的内容管理系统(CMS),Drupal和Joomla站点在这次活动中被破坏和利用。间谍软件活动点击从过去7天的攻击受损的Joomla和Drupal站点页面注入相同的恶意JavaScript,将用户重定向到下载间谍软件和可能不需要的应用程序,如下所示:入侵的Drupal站点与注入的JavaScript受损Joomla本月早些时候,Zscaler安全研究团队开始调查多起与WordPress相关的安全事件,cc防御专家,并发现了一个新的广泛存在的WordPress活动,导致了不需要的应用程序的下载。dynamoo对此进行了简要报道,一些用户在WordPress官方论坛上对此进行了报道。在我们的研究过程中,ddos的防御带宽,我们发现这项活动始于2015年8月的第一周,此后一直相当活跃,迄今为止,已有2000多个网页发生了20000多起安全事件。受此活动影响的大多数WordPress站点运行的是最新版本4.3.1,DDOS防御值什么价格,但可能在更新之前就已经发生了妥协。图1:2015年8月WordPress活动点击图2:2015年9月WordPress活动点击感染周期当用户访问一个受损的WordPress站点时,感染开始。被破坏的页面将注入如下所示的JavaScript:图3:注入恶意JavaScript代码deobfloused JavaScript代码包含一个iframe到恶意服务器位置:图4:deobfloused JavaScript包含iframe,尽管目标域不同我们看到的事务,关联的服务器IP地址保持不变。目标域见c11.n4.i.teaserguide[.]com i.lightalitones[.]com c11n4.i.teaserguide[.]com kfc.i.cleaserguide[.]com kfc.i.teasrguide[.]com xn--c11n4-ix3b.i.teasrguide[.]com xn--kfc-rp0a.i.lightalitones[.]com c114.i.teasterguide[.]com rm3a.r.mega-us-pills[.]ws与这些相关的IP地址91.226.33.54域名在拉脱维亚通过VPS托管提供商托管。注入的iframe加载额外的JavaScript,收集诸如当前系统时间戳、时区和adobeflashplayer的存在等信息。图5:用户系统信息收集脚本图6:检查Flash插件和版本信息是否存在的函数收集的信息通过httpget被转发回同一个服务器请求。接下来是一系列重定向,导致下载间谍软件或伪装成合法应用程序的潜在不需要的应用程序(PUA)。图7:从拉脱维亚VPS服务器重定向到PUA下载假Flash播放器-Win32.InstallCore的其中一个例子,我们观察到用户被提示更新flashplayer,如下所示:图8:过期flashplayer警告页面提示用户更新或安装新的flashplayer更新。不管用户选择什么选项,都会下载一个假的adobeflashplayer应用程序。文件名:Adobe Flash播放器.exeMD5:fa75abf137224fc2c60b9b3c35c80a5e此文件是一个.NET编译的可执行文件,它下载并执行另一个名为FlashSetup.exe. 文件名:Flash安装程序.exeMD5:87234AF45B30740309C8BFCDF2167DC图9:假Flash播放器下载下载的文件flashsetup.exe是可能不需要的应用程序Win32.InstallCore的变体。在安装Adobe Flash Player期间,其他几个网站提供了其他不需要的恐吓软件应用程序。间谍软件安装程序提示用户下载并安装Windows 7 PC修复工具的情况如下所示:图8:Scareware Windows 7修复实用程序图9:间谍软件安装完成后从第三方网站下载和从PUA下载广告软件流量,用户将被重定向到合法的Adobe页面,指示安装未成功,专业防御ddos,提示用户重新启动。如果用户选择重新开始安装,Adobe Flash Player将从正版Adobe站点安装。图10:用户重定向到合法的adobeflash Player Fake MediaDownloader更新-Win32.DownloadAssistant在另一种情况下,网页提示用户使用一个假的MediaDownloader软件更新,它是PUA Win32.DownloadAssistant的变体。文件名:安装程序.exeMD5:a885f33c308721831498a2ac581bd91c图11:假媒体下载程序更新最终结果与下载并安装到受害者计算机上的潜在不需要的应用程序的结果相同。这些应用程序能够下载其他恶意或不需要的应用程序。我们还看到了一些假冒的web浏览器插件被下载和安装的实例。下面是一个googlechrome插件NewTabTV plus的例子。图12:假冒的谷歌Chrome插件下载这次活动涉及的被破坏的网站分布在世界各地,而不限于一个特定的地区。图13:被破坏的WordPress网站的地理分布-2015年9月结论WordPress作为最受欢迎的内容管理系统和博客平台之一,仍然是网络犯罪分子的一个有吸引力的目标。与以前涉及恶意软件作者和漏洞工具包运营商的活动不同,这次活动中得到的最终有效载荷涉及间谍软件和潜在的不需要的应用程序。这些应用程序看似无害,但可以通过未经请求的广告促进基于恶意广告的攻击。Zscaler ThreatLabZ正在积极监控这一活动,并确保Zscaler客户受到保护。Jithin Nair和Sameer Patil分析Zscaler_媒体_中心2_博客_发布_1-R1

,ddos防御方案包括以下哪些