Balada 注入器使用 WordPress 攻击网站

据 GoDaddy 的 Sucuri 称，自 2017 年以来，一场名为 Balada Injector 的大规模活动已经用恶意软件感染了超过一百万个 WordPress 网站。攻击者使用各种方法和漏洞来破坏 WordPress 网站，包括主题和插件漏洞。这些攻击每隔几周就会一波接一波地发生，并且可以通过使用 String.fromCharCode 混淆、托管恶意脚本的域名以及重定向到诈骗网站来轻松识别。

该恶意软件旨在生成虚假的 WordPress 管理员用户，收集存储在主机上的数据，并为持久访问留下后门。攻击者还搜索属于与受感染网站文件系统关联的其他站点的可写目录。这些攻击包括虚假的技术支持、欺诈性的彩票中奖，以及提示用户打开通知以验证他们不是机器人的流氓验证码页面，从而使攻击者能够发送垃圾邮件广告。

Balada Injector 依赖 100 多个域和各种方法（例如 HTML 注入和站点 URL）来利用已知的安全漏洞。攻击者的主要目的是获取存储在 wp-config.php 文件中的数据库凭据。该恶意软件可以读取或下载任意站点文件，包括备份、数据库转储、日志和错误文件，并搜索站点管理员留下的工具，例如 adminer 和 phpmyadmin。

最近，Palo Alto Networks Unit 42 发现了一个类似的恶意 JavaScript 注入活动，该活动将访问者重定向到广告软件和误导性页面。自 2022 年以来，已有超过 50,000 个网站受到影响。

黑客如何使用代码注入破坏合法页面？

黑客可以利用用于构建网站的代码或软件中的漏洞，使用代码注入来破坏合法页面。代码注入攻击有多种类型，例如 SQL 注入、跨站点脚本 (XSS) 和远程文件包含 (RFI)。

SQL 注入涉及将恶意 SQL 代码插入网站的数据库查询，这可能允许攻击者绕过身份验证、检索敏感信息或修改数据库。

XSS 是一种注入攻击，其目标是访问网站的用户，而不是网站本身。攻击者将恶意脚本注入用户查看的网页，从而允许他们窃取会话 cookie、将用户重定向到钓鱼网站或窃取登录凭据。

RFI 涉及通过利用 Web 应用程序文件包含机制中的漏洞将恶意代码注入网页。这允许攻击者在服务器上执行远程代码，从而导致对 Web 服务器的完全控制和敏感信息的暴露。

黑客还可以使用代码注入将恶意代码插入合法网站，从而导致恶意软件传播或网络钓鱼企图。为防止代码注入攻击，重要的是使 Web 应用程序和插件保持最新状态、验证用户输入并使用安全编码实践。