Balada 注入器使用 WordPress 攻擊網站

據 GoDaddy 的 Sucuri 稱，自 2017 年以來，一場名為 Balada Injector 的大規模活動已經用惡意軟件感染了超過一百萬個 WordPress 網站。攻擊者使用各種方法和漏洞來破壞 WordPress 網站，包括主題和插件漏洞。這些攻擊每隔幾週就會一波接一波地發生，並且可以通過使用 String.fromCharCode 混淆、託管惡意腳本的域名以及重定向到詐騙網站來輕鬆識別。

該惡意軟件旨在生成虛假的 WordPress 管理員用戶，收集存儲在主機上的數據，並為持久訪問留下後門。攻擊者還搜索屬於與受感染網站文件系統關聯的其他站點的可寫目錄。這些攻擊包括虛假的技術支持、欺詐性的彩票中獎，以及提示用戶打開通知以驗證他們不是機器人的流氓驗證碼頁面，從而使攻擊者能夠發送垃圾郵件廣告。

Balada Injector 依賴 100 多個域和各種方法（例如 HTML 注入和站點 URL）來利用已知的安全漏洞。攻擊者的主要目的是獲取存儲在 wp-config.php 文件中的數據庫憑據。該惡意軟件可以讀取或下載任意站點文件，包括備份、數據庫轉儲、日誌和錯誤文件，並蒐索站點管理員留下的工具，例如 adminer 和 phpmyadmin。

最近，Palo Alto Networks Unit 42 發現了一個類似的惡意 JavaScript 注入活動，該活動將訪問者重定向到廣告軟件和誤導性頁面。自 2022 年以來，已有超過 50,000 個網站受到影響。

黑客如何使用代碼注入破壞合法頁面？

黑客可以利用用於構建網站的代碼或軟件中的漏洞，使用代碼注入來破壞合法頁面。代碼注入攻擊有多種類型，例如 SQL 注入、跨站點腳本 (XSS) 和遠程文件包含 (RFI)。

SQL 注入涉及將惡意 SQL 代碼插入網站的數據庫查詢，這可能允許攻擊者繞過身份驗證、檢索敏感信息或修改數據庫。

XSS 是一種注入攻擊，其目標是訪問網站的用戶，而不是網站本身。攻擊者將惡意腳本注入用戶查看的網頁，從而允許他們竊取會話 cookie、將用戶重定向到釣魚網站或竊取登錄憑據。

RFI 涉及通過利用 Web 應用程序文件包含機制中的漏洞將惡意代碼注入網頁。這允許攻擊者在服務器上執行遠程代碼，從而導致對 Web 服務器的完全控制和敏感信息的暴露。

黑客還可以使用代碼注入將惡意代碼插入合法網站，從而導致惡意軟件傳播或網絡釣魚企圖。為防止代碼注入攻擊，重要的是使 Web 應用程序和插件保持最新狀態、驗證用戶輸入並使用安全編碼實踐。