WordPress 网站遭到虚假勒索软件攻击
新一波攻击已经入侵了近 300 个 WordPress 网站以显示虚假的加密通知,试图诱骗网站所有者支付 0.1 比特币进行恢复。
这些赎金要求带有倒数计时器,以引起紧迫感,并可能使网络管理员惊慌地支付赎金。
虽然与我们在备受瞩目的勒索软件攻击中看到的相比,0.1 比特币(约 6,069.23 美元)的赎金需求并不是特别重要,但对于许多网站所有者来说,这仍然是一个相当大的数额。
烟雾和镜子
这些攻击是由网络安全公司 Sucuri 发现的,Sucuri 受雇于其中一名受害者来执行事件响应。
研究人员发现这些网站没有被加密,而是攻击者修改了一个已安装的 WordPress 插件,以显示赎金记录和倒计时。
除了显示赎金记录外,该插件还会修改所有 WordPress 博客文章并将其“post_status”设置为“null”,从而使它们进入未发布状态。
因此,演员们创造了一种简单而强大的错觉,使网站看起来好像已被加密。
通过删除插件并运行命令重新发布帖子和页面,站点恢复到正常状态。
通过对网络流量日志的进一步分析, Sucuri 发现第一个出现攻击者 IP 地址的点是 wp-admin 面板。
这意味着渗透者以管理员身份登录网站,要么通过暴力破解密码,要么通过从暗网市场获取被盗凭据。
这不是一次孤立的攻击,而是更广泛的活动的一部分,更加重视第二种情况。
至于 Sucuri 看到的插件,它是 Directorist,这是一个在网站上构建在线商业目录列表的工具。
Sucuri 通过Google 搜索跟踪了大约 291 个受此次攻击影响的网站 显示了一些已清理的网站和那些仍然显示赎金票据的网站。
BleepingComputer 在搜索结果中看到的所有网站都使用相同的 3 Fh6QtjtNCPNNjGwszoqqCka2SDEc 比特币地址,该地址没有收到任何赎金。
防止站点加密
Sucuri 建议采取以下安全措施来保护 WordPress 网站免遭黑客攻击:
- 查看站点上的管理员用户,删除任何虚假帐户,并更新/更改所有 wp-admin 密码。
- 保护您的 wp-admin 管理员页面。
- 更改其他接入点密码(数据库、FTP、cPanel 等)。
- 将您的网站置于防火墙之后。
- 遵循可靠的备份做法,以便在发生真正的加密事件时轻松恢复。
由于 WordPress 通常是威胁行为者的目标,因此确保所有已安装的插件都运行最新版本也很重要。