Компрометация сайтов на базе WordPress с целью DDOS

security Security
Опубликовано

Злоумышленники скомпрометировали более 30 сайтов на базе WordPress, с целью проведения DDOS атак.

При посещении скомпрометированного сайта, запускается скрипт, получающий список сайтов с адреса https://jquery.fra1.digitaloceanspaces.com/jquery.json (в данный момент не доступен).

После получения списка целей, скрипт постоянно обращается к URL из списка, передавая в качестве параметра к URL, случайную строку длиной от 0 до 20 символов, содержащую английские буквы в различных регистрах и цифры.

Пример запросов:

  • /?EtAWZ7V9r5V
  • /?CszXcMgwhNGzq3YfY
  • /?qamS2oq
  • /?sR2EiKCLH7tvHAT0KtDG

Регулярное выражения, для выявление и блокировки запросов

^(.*)\?[a-zA-Z0-9]{1,20}$

Indicators of Compromise

URLs

  • https://jquery.fra1.digitaloceanspaces.com/jquery.json

base64 string

  • aHR0cHM6Ly9qcXVlcnkuZnJhMS5kaWdpdGFsb2NlYW5zcGFjZXMuY29tL2pxdWVyeS5qc29u

Похожие записи:
  1. Скомпрометированные Docker Honeypots использовались для DoS-атаки
  2. Eternity Project Malware IOCs
  3. Массовая кампания по перенаправлению вредоносного ПО ois[.]is Black Hat
  4. Вредоносная программа Linux заражает веб-сайты на базе WordPress
  5. Уязвимые сайты WordPress скомпрометированы различными инфекциями баз данных
DDOS Wordpress
Добавить комментарий