اسکریپت هدایت‌کننده بازدیدکنندگان سایت‌های وردپرس و جوملا به سایت‎های مخرب شناسایی شد

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وبسایت ThreatPost، پژوهشگران٬ اسکریپتی را شناسایی کرده‌اند که قادر به تزریق کد در فایل .htaccess است.

سایت‌هایی که توسط این کد آلوده شده‌اند، بازدیدکننده را به سایت‌های آگهی منتقل می‌کنند که در ادامه منجر به نصب نرم‌افزار مخرب در سیستم قربانی می‌شوند.

سایت‌هایی که دارای CMS وردپرس و جوملا هستند از فایل‌های .htaccess برای اعمال تغییرات در وب سرور استفاده می‌کنند و مهاجمین با دستکاری این فایل، می‌توانند بازدیدکننده یک سایت را به مقصد دلخواه هدایت کنند.



پژوهشگران در این حملات یک اسکریپت php را کشف کرده‌اند که در پوشه‌های هاست میزبان، فایل‌های .htaccess را جستجو و آن‌ها را دستکاری می‌کند. پس از دستکاری فایل .htaccess، مراجعین سایت قربانی به یک سایت مخرب که در این حمله آدرس http[:]//portal-f[.]pw/XcTyTp است، هدایت می‌شوند.

اسکریپت php کشف شده برای هر دو سیستم مدیریت محتوا وردپرس و جوملا عمل می‌کند که در این کد در متغیر $wp پوشه‌های مربوط به وردپرس و در متغیر $jm پوشه‌های مربوط به جوملا تعیین شده‌اند.



نحوه نفوذ مهاجمین به سایت‌های وردپرس و جوملا در این حمله هنوز مشخص نشده است.