Навигация по сайту

Популярные статьи

Самовосстанавливающиеся Черные SEO и Спам Хиты Установок WordPress

  1. Фон Проводится кампания Black SEO / Spam отравления, ориентированная в основном на сайты WordPress....
  2. Модуль рассылки спама
  3. Другое вредоносное содержание
  4. Карантин не помогает
  5. Ваш сайт заражен вредоносным ПО или заблокирован поисковыми системами?

Фон

Проводится кампания Black SEO / Spam отравления, ориентированная в основном на сайты WordPress. При обработке нескольких инцидентов, связанных с этим, мы обнаружили новое самовосстанавливающееся вредоносное ПО, ориентированное на WordPress, среди других вредоносных компонентов. Давайте посмотрим на все из них.

Бэкдоры, чтобы контролировать атакованный сайт

Мы до сих пор не знаем, существует ли какая-либо связь между инфекциями, но все исследованные веб-сайты содержали множество общих PHP-оболочек и бэкдоров, имена которых имеют следующий формат:

  • сноска [\ d] {0,2} .php
  • войти в [\ d] {0,2} .php
  • Статистика [\ d] {0,2} .php
  • Пользователь [\ d] {0,2} .php
  • галерея [\ d] {0,2} .php
  • SQL [\ d] {0,2} .php
  • файл [\ d] {0,2} .php
  • Объект [\ d] {0,2} .php
  • лицензия [\ d] {0,2} .php
  • FERG [\ d] {0,2} .php
  • каталоги [\ d] {0,2} .php
  • глобальный [\ д] {0,2} .php
  • включают в себя [\ d] {0,2} .php

Для читателей, которые не знакомы с правилами регулярных выражений: [\ d] означает числовые символы 0-9 и {0,2} означают, что не более двух последовательных цифр. Например, «dirs12.php»

Мы предполагаем, что все эти бэкдоры / оболочки используются для общего управления зараженными веб-сайтами и не обрабатывали какую-либо конкретную функциональность.

Модуль рассылки спама

Все спам-инфекции удалялись в отдельных папках с короткими именами по 2-3 символа (например, «se», «hov» и т. Д.).

Чтобы сделать страницу со спамом эффективной, этот вредоносный PHP-скрипт ищет ключи с помощью 3 основных поисковых систем и собирает результаты для создания HTML-файлов.

Чтобы сделать страницу со спамом эффективной, этот вредоносный PHP-скрипт ищет ключи с помощью 3 основных поисковых систем и собирает результаты для создания HTML-файлов

Ниже приведены примеры найденных нами спам-файлов HTML:

  • ОЧИТ-тезис-Matlab-code.html
  • 3-часть-тезис-утверждение-examples.html
  • Эссе-на-душ-оф-черно-folks.html
  • эссе на нобелевского лауреата-Кайлаш-satyarthi-1.html
  • литература-обзор-пример-fashion.html
  • как в изготовлении, а-история-исследовательский документ контурный-1.html
  • импакт-фактор-научно-paper.html
  • волк-тезис-sarajevo.html
  • питание-месяц-2014-эссе writing.html
  • ребенок-рабство-научно-paper.html
  • Другое вредоносное содержание

    В дополнение к упомянутым компонентам эта инфекция включала дампер вредоносных программ, отвечающий за загрузку дополнительных вредоносных программ со стороннего сайта:

    Код заражения файла .htaccess и модуль go.php, отвечающий за обработку HTTP-запроса на доступ к любой из страниц HTML спама:

    Карантин не помогает

    И тут начинается самое интересное. Хакеры оснастили эту кампанию модулем обхода карантина. Этот модуль восстановления после заражения отвечает за заражение рядом с файлом .htaccess и восстановление модуля go.php, если он был помещен на карантин одним из плагинов WordPress.

    Ваш сайт заражен вредоносным ПО или заблокирован поисковыми системами?

    Если вы подозреваете, что ваш WordPress заражен, вы можете использовать недавно выпущенный обновленный Quttera WordPress Сканер вредоносных программ способен обнаружить такую ​​инфекцию.

    Здесь, в Quttera, мы ежедневно очищаем этот и другие виды вредоносных программ. Если вы хотите, чтобы наши аналитики вредоносных программ помогли вам, просто выберите соответствующий ThreatSign! план защиты от вредоносных программ и вернуться в онлайн.

    Для других вопросов и помощи: Справочная служба Quttera

    Ваш сайт заражен вредоносным ПО или заблокирован поисковыми системами?