来自 DDOS 2021-05-03 03:10 的文章

国内高防cdn_服务器高防服务_怎么防

国内高防cdn_服务器高防服务_怎么防

在'feedburner.com网站’最近,我们看到了MySQL和PHP.net网站正在妥协。我们还写了一篇关于Google代码被用作存放恶意代码的放置站点的博客。这些实例清楚地表明,个人防御ddos,攻击者的目标是流行网站,并在其攻击中使用它们,ddoscc攻击防御,因为它们不太可能被URL过滤器阻止。这一次我们发现,谷歌收购了"FeedBurner",阿里高防cdn,它为用户提供定制的RSS提要和管理工具,并托管了一个受感染的页面。我们发现子域上的一个页面'feeds.feedburner.com'正在为恶意JavaScript提供服务。JavaScript是模糊处理的,包含一个iFrame,在执行之后,它会将用户重定向到恶意网站。有关此特定攻击的更多信息,请参阅McAfee对威胁JS/Exploit的描述-布拉科尔.让我们看看详细信息.URL: hxxp://feeds.feedburner.com/bileblog下面显示了访问上述对象时的重定向跟踪网址.网络跟踪: 上述情况下的重定向链如下:hxxp://feeds.feedburner.com/bileblog(删除JavaScript特洛伊木马程序)--> hxxp://rsnvlbgcba.ibiz.cc/d/404.php?go=1(中间重定向)--> 网址:hxxp://fukbb.com/让我们看一看被删除的模糊JavaScript特洛伊木马代码的美化版本: JavaScript特洛伊木马代码通常包含两个主要部分。第一个是解码器例程(即解码嵌入负载的JavaScript代码),第二个是有效负载本身。通常,攻击者会不断调整解码器例程和有效负载,以逃避安全供应商的攻击。上面代码的去模糊处理版本可以在这里看到: 去模糊处理的代码将iFrame加载到受害者的浏览器中,防御ddos方案,这会将用户重定向到hxxp://rsnvlbgcba.ibiz.cc/d/404.php?go=1',然后将其重定向到'网址:hxxp://fukbb.com/’.源代码托管在'hxxp://rsnvlbgcba.ibiz.cc/d/404.php?go=1'是一个简单的重定向:   最终重定向页面: 目前,'网址:hxxp://fukbb.com'没有提供任何恶意代码,但发现此网站的信誉可疑(请参阅下面的VT链接)。不过,该网页可能会在未来某个时候恢复。ThreatLabZ于2013年12月26日将此感染告知FeedBurner。VT报告:文件扫描JavaScript特洛伊木马代码:24/49URL扫描打开'hxxp://rsnvlbgcba.ibiz.cc/d/404.php?go=1':2/51URL扫描打开'网址:hxxp://fukbb.com/':3/51ZULU报告:URL扫描打开'hxxp://feeds.feedburner.com/bileblog':100/100在?feed=rss2',这也是一个RSS提要管理站点。以下是访问此URL时看到的网络跟踪。 在这种情况下观察到的重定向链如下:hxxp://cellubityshowdown.net/?进给=rss2--> hxxp://rhtbjgw.ibiz.cc/?前进=2--> 网址:hxxp://fukbb.com/有关此感染的详细报告,请查看urlQueryreport。我们继续看到类似的感染使用恶意JavaScript注入合法网站,以重定向用户到恶意网站每天。大多数情况下,受感染的站点并不是专门针对目标的,而是在使用浏览器漏洞工具包(旨在使尽可能多的站点自动感染)进行更大规模的攻击时受到感染。我们建议读者使用在线URL扫描工具,如ZULU,在可疑时对URL进行扫描,第三方ddos防御,而不管网站的声誉如何。-普拉德普 Zscaler_媒体_中心2_博客_发布_1-R1