您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

黑客是这样攻击个人网站,大家警惕

时间:2020-02-19 15:07:48  来源:  作者:

wordPress/ target=_blank class=infotextkey>WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。

针对CMS平台的攻击时有发生,本文分析了针对WordPress的不同类型的攻击,以及管理访问、API、Shell部署和seo等攻击特点。

通过黑客管理访问攻击WordPress站点

此方法可获得WordPress网站的管理员访问权限。攻击者可以利用漏洞或泄露的凭据进行攻击,向目标网站上的/wp-log in.php发送POST请求来完成。

黑客是这样攻击个人网站,大家警惕

 

成功登录后,攻击者可具有管理员权限,并进行如下操作:

安装带有后门的自定义主题

安装插件以上传文件

这两个操作通常在成功获得管理员权限后使用,可以选择更改管理员密码或创建新的管理员帐户。常见的方法是使用公共主题并嵌入带有远程代码执行(RCE)功能的自定义后门,文件上传插件允许攻击者直接上传有效负载。

利用一个后门部署另一个具有类似功能的后门是常见操作。当有效负载/命令/代码编码在COOKIES或POST数据中时,通过使用GET或POST请求来完成部署。解码程序会部署在先前的后门中。还观察到攻击者会patch已经存在的.php文件使恶意请求更加隐蔽。首先,记录所有可写路径,随机选择合适的路径,然后patch所选文件。

黑客是这样攻击个人网站,大家警惕

 

在本例中,将修补程序功能应用于index.php,以在Unix隐藏文件(点文件)中包含恶意脚本,扩展名为.ico。

黑客是这样攻击个人网站,大家警惕

 

另一个值得注意的特性是能够感染邻居域(前提是web服务器正在处理多个域,并且当前用户对其目录具有写访问权限)。

黑客是这样攻击个人网站,大家警惕

 

在受感染的WordPress站点中部署Alfa Shell

攻击者会将Web shell部署在受感染的WordPress网站上。

黑客是这样攻击个人网站,大家警惕

 


黑客是这样攻击个人网站,大家警惕

 

web shell为RCE提供了一个用户友好的界面(例如,注册CGI处理程序,允许执行Perl、Python和Bash脚本)。alfashell还能够从WordPress配置文件中获取数据库凭据,转储数据库,以及获取所有虚拟域和DNS设置。

黑客是这样攻击个人网站,大家警惕

 

web shell还支持多种平台,它能够从开发人员网站下载并执行反向shell。

 

黑客是这样攻击个人网站,大家警惕

 

受感染的WordPress还可以充当广告重定向程序,通过修改JAVAScript文件或页眉/页脚生成器函数(例如wp contenttheme stwenty17functions.php)。修改后的JavaScript将用户重定向到攻击者指定的网站。

 

黑客是这样攻击个人网站,大家警惕

 

感染WordPress网站的搜索引擎优化(SEO)

受感染的WordPress站点的另一个实例是搜索引擎优化(SEO),已发现部署的PHP脚本在GET请求中接受关键字。

 

黑客是这样攻击个人网站,大家警惕

 


脚本首先检查用户代理是否与正则表达式之一匹配,或者SERVER[“REMOTE_ADDR”](发出HTTP请求的IP地址)的反向DNS查找是否包含google子字符串。如果符合,则将$isbot变量设置为1。

黑客是这样攻击个人网站,大家警惕

 

如果$isbot不为零,则将使用相同的关键字向程序中硬编码的URL地址发出另一个HTTP请求。如果$isbot未设置,而HTTP_REFERER包含Google、Bing或Yahoo等字符串,则会将其重定向到另一个服务网站。

 

黑客是这样攻击个人网站,大家警惕

 


如果返回的文本长度小于1000个字符,则将使用Bing搜索引擎执行其他查询,并将匹配指定正则表达式的结果附加到$text中。

如果再次执行相同的查询,则返回最终的html页面并将其保存在服务器上。

黑客是这样攻击个人网站,大家警惕

 

如上图Cockeysville Eagle的Football网页中有一些部分包含明显不相关的JavaScript框架的文本,从而导致SEO中毒。

黑客是这样攻击个人网站,大家警惕

 

散布虚假或误导性文章

被黑客攻击的WordPress网站也可被用来传播虚假或误导性的文章,其中的内容很少或没有真实的细节,取而代之的是吸引眼球的头条

黑客是这样攻击个人网站,大家警惕

 

如上面例子所示,被破坏的网站发布的故事有明显的语法错误。攻击者通过WordPress的XML-RPC接口(API)实现,API允许数据传输并执行任务,如上传新文件、编辑和发布帖子。

WordPress网站的安全建议

上述示例只是已知攻击者使用的技术。易受攻击的WordPress网站如果没有适当的保护,很容易被利用。为了降低风险,建议使用双因素身份验证(2FA)插件来防止凭据泄露,并及时扫描是否存在未修补的漏洞。以下是用户和站点管理员可以采取的其他措施:

采用基本的安全措施来减少网站的攻击面

禁用或删除过时或易受攻击的插件

使用virtual patch来解决尚未提供修补程序的漏洞

执行最小特权原则

定期更新CMS到最新版本,包括插件

文章转载于:https://www.freebuf.com/articles/network/224520.html



Tags:黑客   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  Tags: 黑客  点击:(8)  评论:(0)  加入收藏
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  Tags: 黑客  点击:(9)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  Tags: 黑客  点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Tags: 黑客  点击:(28)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  Tags: 黑客  点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:ü如何开启ip转发ü怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Tags: 黑客  点击:(23)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Tags: 黑客  点击:(39)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Tags: 黑客  点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:ü借助第三方软件防御(360安全卫士,腾讯管家等)ü使用arp...【详细内容】
2021-11-13  Tags: 黑客  点击:(32)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Tags: 黑客  点击:(31)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条