jQuery.min.php Malware afecta milhares de sites

  • Domingo, 17th Julho, 2016
  • 19:26pm

injecções jQuery falsos têm sido muito populares entre os hackers já que a própria jQuery entrou para o mainstream e tornou-se uma das bibliotecas JavaScript mais amplamente adotadas.

De vez em quando nós escrever sobre tais ataques . Quase todas as semanas vemos novos domínios e scripts falsos jQuery que imitam jQuery. Por exemplo, uma das infecções de malware mais frequentes do último par de semanas é o ataque que injeta roteiro jQuery falso na seção de cabeçalho de WordPress e Joomla! Sites.

O script é injetado logo antes do fechamento </ head> tag e se parece com isso:

Falso malwares roteiro jQuery em sites Joomla e WordPressFalso malwares roteiro jQuery em sites Joomla e WordPress

Há algumas coisas interessantes sobre este malware que eu quero falar aqui.

não ofuscado

Embora ele infecta arquivos PHP, o código injetado é em JavaScript. Hackers decidiu não para ofuscar ele. Provavelmente para torná-lo menos proeminente durante manuais revisões de código. Isso também ajuda a manter a coisa simples, e como eu vou mostrar depois, os atacantes precisam mudar o código injetado frequentemente e suas habilidades de codificação não são tão grandes.

Hospedagem de scripts em vários sites comprometidos

Depois de um segundo tempo 10, o código JS injeta dinamicamente outro script que se parece com isso:

http://infected-site.com /js/jquery.min.php

Onde infected-site.com é algum site de terceiros comprometida onde os hackers colocaram seus scripts maliciosos. O domínio muda de local para local e no mesmo local após reinfecções. Literalmente cada site com o malware JS injetada também pode ser reutilizado para sediar a /js/jquery.min.php script.

Bugs no Malware Injector

Como você deve ter notado, há dois scripts idênticos roteiros injetados na imagem. Isto acontece muitas vezes devido a um erro no injector malware. Ele simplesmente olha para o </ head> pouco e injeta malwares direita antes . Ele não verifica se esse arquivo já contém o código malicioso.

Desde hackers tentar actualizar regularmente o código para usar novos domínios ou apenas reinfectar sites que removeu o malware removido, muitas páginas da web infectadas podem conter mais do que um script malicioso - às vezes mais de 10 deles. A mesma lógica falha torna injetar o script em outros locais impróprios (por exemplo, dentro de comentários que contenham a palavra </ head> ).

Temas e modelos infectados

Os principais alvos deste ataque são WordPress e sites Joomla. Quando os hackers invadir um tal site, eles executar um script que olha para todas as instalações WordPress e Joomla sobre a conta do servidor comprometido e, em seguida, injeta que o código JavaScript malicioso no header.php arquivo em cada tema WordPress e para o  index.php arquivo em cada modelo de Joomla (ou qualquer outro arquivo que tem o<head /> tag). Isto torna a limpeza relativamente fácil. Você só precisa remover o código malicioso de header.php (WP) ou index.php (Joomla) ou apenas restaurá-los a partir de um backup limpo, além de verificar a jquery.min.php na / js diretório.

Para verificar se você está infectado, você pode aproveitar o nosso scanner de malware livre - SiteCheck . Aqui está o que a saída pode ser parecido com:

Maciça Malware alvos da campanha WordPress e Joomla

Impedir Reinfecções

Removendo o malware não é suficiente. Como já mencionado, os hackers tentam regularmente para atualizar o código malicioso assim que o problema inevitavelmente retornar a menos que você excluir todos os backdoors e fechar as brechas de segurança . Os hackers carregou o backdoor inicial após o login em WordPress e então upload algum plugin ou editar algum arquivo tema (geralmente 404.php ). Depois disso, eles usaram o backdoor inicial para criar vários backdoors robustos em diferentes diretórios de sites comprometidos.

Dado que a maioria dos sites WordPress estão sob constantes ataques de força bruta, tentando adivinhar senhas de administrador, podemos supor que as senhas WordPress poderia ter sido imaginado desta forma. Notamos também que alguns dos sites comprometidos tinha usuários de administração do WordPress maliciosos com nomes como " apoio ", " dpr19 ", " loginfelix ". Alguns deles tinham sido criado durante os ataques anteriores embora.

Em outras palavras, depois de remover as partes visíveis de infecção, você deve endurecer o seu site para evitar reinfecções:

  • Alterar senhas para todos WordPress e sites Joomla
  • Analisá-los para os usuários de administração maliciosos. Lembre-se raramente há uma necessidade de mais de um usuário administrador. Há funções de usuário mais apropriadas em WordPress para a maioria das tarefas.
  • Verifique se o seu CMS e todos os seus componentes de terceiros são up-to-date. Todo o material não utilizado deve ser impiedosamente excluído do servidor.
  • Adicione um pouco de proteção contra ataques de força bruta.

Seria também muito bom se você proteger o seu site com um firewall de aplicação web (WAF) como o nosso CloudProxy que ajuda a bloquear todos os pedidos maliciosos que tentam explorar ainda falhas de segurança conhecidas e desconhecidas, parar os ataques de força bruta e impedir que hackers acessem seu áreas de administração CMS.

 

« Retornar

ico-whatsapp
Dúvidas por WhatsApp
ico-chat
Dúvidas por Web Chat
ico-ticket.png
Abrir ticket Suporte