اسکریپت هدایتکننده بازدیدکنندگان سایتهای وردپرس و جوملا به سایتهای مخرب شناسایی شد
تاریخ انتشار
سه شنبه ۷ خرداد ۱۳۹۸ ساعت ۱۳:۲۷
آیتیمن- به گزارش مرکز افتا، به نقل از وبسایت ThreatPost، پژوهشگران٬ اسکریپتی را شناسایی کردهاند که قادر به تزریق کد در فایل .htaccess است.
سایتهایی که توسط این کد آلوده شدهاند، بازدیدکننده را به سایتهای آگهی منتقل میکنند که در ادامه منجر به نصب نرمافزار مخرب در سیستم قربانی میشوند.
سایتهایی که دارای CMS وردپرس و جوملا هستند از فایلهای .htaccess برای اعمال تغییرات در وب سرور استفاده میکنند و مهاجمین با دستکاری این فایل، میتوانند بازدیدکننده یک سایت را به مقصد دلخواه هدایت کنند.
پژوهشگران در این حملات یک اسکریپت php را کشف کردهاند که در پوشههای هاست میزبان، فایلهای .htaccess را جستجو و آنها را دستکاری میکند. پس از دستکاری فایل .htaccess، مراجعین سایت قربانی به یک سایت مخرب که در این حمله آدرس http[:]//portal-f[.]pw/XcTyTp است، هدایت میشوند.
اسکریپت php کشف شده برای هر دو سیستم مدیریت محتوا وردپرس و جوملا عمل میکند که در این کد در متغیر $wp پوشههای مربوط به وردپرس و در متغیر $jm پوشههای مربوط به جوملا تعیین شدهاند.
نحوه نفوذ مهاجمین به سایتهای وردپرس و جوملا در این حمله هنوز مشخص نشده است.
مرجع : مرکز افتا