安全研究人员正在监控针对Joomla和WordPress网站的新黑客攻击活动,攻击者使用.htaccess注射器进行恶意重定向。
Sucuri的研究人员警告Joomla和WordPress网站管理员在客户网站上发现恶意超文本访问(.htaccess)注入器。攻击者使用该网站将流量重定向到试图传播恶意软件的广告网站。
“在调查我们的一个事件响应案件的过程中,我们发现了一个 。htaccess的 代码注入。它已在网站上广泛传播,注入所有人 。htaccess的 文件并将访问者重定向到 http[:]//门户-F[。]PW/ XcTyTp 广告网站。”读 那个报告。
.htaccess文件 是运行Apache Web Server软件的Web服务器的配置文件。这些.htaccess文件可用于更改Apache Web Server软件的配置,以启用/禁用其他功能和特性。这些功能包括重定向功能,内容密码保护或图像热链接防护。
Sucuri发现威胁行为者滥用.htaccess文件的URL重定向功能,将受感染网站的访问者重定向到网络钓鱼站点,传播恶意软件的网站,或者仅仅是为了生成展示。
目前尚不清楚攻击者如何获得对Joomla和WordPress网站的访问权限,我们只知道他们将恶意代码注入到网站的某些index.php文件中。
“下面是Joomla网站上./modules/mod_widgetread_twitt/index.php 文件中的代码 。此代码负责将恶意重定向注入 .htaccess 文件: “
“此代码正在搜索 .htaccess 文件。如果找到,此代码将在“ #BEGIN WORDPRESS ” 之后立即将恶意重定向放入文件中。“继续报告。
当用户尝试访问由Joomla和WordPress站点重定向的恶意站点时,来自端点防病毒软件的警告消息。
此.php代码还搜索更多文件和文件夹,尝试搜索嵌套文件夹。
通过黑客攻击网站并不罕见 。htacccess文件,包括,在2018年10月,安全研究人员发现了一个零日漏洞,跟踪为 CVE-2018-9206,在旧版本的jQuery的 自2010年以来的文件上传插件。攻击者利用该问题进行了一些恶意活动,包括污损,渗漏和恶意软件感染。
alled jQuery的文件上传使7,800种不同的软件应用程序面临潜在的危害和远程代码执行风险。
问题的根本原因是Apache 在版本2.3.9中禁用了对.htaccess的支持 以提高性能(服务器不必在每次访问控制器时检查此文件)并防止用户覆盖安全功能在服务器上配置。
副作用是技术选择使一些开发人员和他们的项目受到攻击。
“虽然大多数网络应用程序都使用重定向,但这些功能通常也被不良行为者用来产生广告印象,将不知情的网站访问者发送到 网络钓鱼网站或其他恶意网页。”Sucuri总结道。
