Bleeping Computer 网站披露,黑客入侵了一些 WordPress 网站,通过注入恶意脚本,使用网站访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击(DDoS)。
最初,MalwareHunter Team 的研究人员在 WordPress 恶意脚本在网站上被发现。经过详细分析,发现当用户访问入侵网站时,脚本对十个乌克兰网站发起了分布式拒绝服务攻击。
被攻击的网站主要包括乌克兰政府机构、乌克兰国际军团招聘网站、金融网站和其他亲乌克兰网站。
目标网站的详细列表如下:
- https://stop-russian-desinformation.near.page
- https://gfsis.org/
- http://93.79.82.132/
- http://195.66.140.252/
- https://kordon.io/
- https://war.ukraine.ua/
- https://www.fightforua.org/
- https://bank.gov.ua/
- https://liqpay.ua
- https://edmo.eu
攻击发生时,网站访问用户不知道
用户加载注入脚本的 WordPress 网站时,JavaScript 脚本将迫使访问者的浏览器执行上述每个网站 HTTP GET 请求,每次触发不超过 1000 并发连接。
DDoS 攻击将发生在后台。用户不知道网络攻击此时正在发生,但他们只是觉得浏览器的速度很慢,这使得脚本可以在访问者不知情的情况下进行 DDoS 攻击。
此外,目标网站的每个请求都使用随机查询字符串,因此请求不会通过 Cloudflare 或 Akamai通过被攻击的服务器直接接收缓存服务。DDoS 脚本将在网站服务器的访问日志中产生以下类似的请求:
- "get /?17.650025158868488 http/1.1"
- "get /?932.8529889504794 http/1.1"
- "get /?71.59119445542395 http/1.1"
目前,Bleeping Computer 只发现了几种感染 DDoS 脚本网站,然而,开发者 Andrii Savchenko 表示,通过 WP 漏洞大约有数百个 WordPress 网站被入侵进行网络攻击。
值得一提的是,在研究脚本寻找其他可能被感染的网站时,Bleeping Computer 发现亲乌克兰网站 https://stop-russian-desinformation.near.page,同样的脚本也用于攻击俄罗斯网站。访问该网站时,用户的浏览器用于 67 俄罗斯网站 DDoS 攻击。
参考文章:https://www.bleepingcomputer.com/news/security/hacked-wordpress-sites-force-visitors-to-ddos-ukrainian-targets/