安全是有分量的

cc防护_防御ddos流量攻击_3天试用

2021-10-12 12:09栏目:网络

cc防护_防御ddos流量攻击_3天试用

我们最近调查了WordPress网站上的一些随机重定向,这些重定向只会发生在某些访问者身上。流量分析表明,这不是服务器端重定向,而是由于网页加载了一些脚本而发生的。

快速查看HTML代码后发现该脚本:

它非常可疑,原因如下:

www。wpquery。org/jquery.js-它绝对不是一个真正的jquery域,WordPress附带了jquery.js的预打包版本,因此无需在某些第三方网站上链接到它。

脚本包含是随机的。仅当当前时间值(以毫秒为单位)为偶数时才会发生:如果(现在%2==0)它包括jquery.min.js或jquery.js,具体取决于当前请求是否有引用人。这根本没有意义。

Wp_func_jquery Function

此脚本放在其他脚本之间的部分,因此它很可能是由主题或插件中的Wp_head hook注入的。快速搜索显示了包含以下代码的终极_VC_插件:

如您所见,免费高防国外cdn,此wp_func_jquery函数试图突出显示良性字符串,如"jquery-1.6.3.min.js"、"jquery"、"libs.org",并减少从hxxp://jquerylibs中插入内容的明显性。org/jquery-1.6.3.min.js进入网页。此外,您可以看到该函数在WordPress页面的页眉或页脚中随机使用。

当我检查hxxp://jquerylibs时。org/jquery-1.6.3.min.jsurl,我找到了www。wpquery。您在本文顶部看到的组织脚本。宾果!

伪造jQuery域

进一步分析表明,防御ddos和cc攻击,wpquery.org和jquerylibs.org并不是此次攻击中使用的唯一伪造jQuery域。我们在2台服务器上识别了以下8个恶意域。

176.9.91.14(德国纽伦堡赫茨纳在线公司)

jquerylibs。组织-创建于2014年6月2日uijquery。组织-创建于2014年7月10日ujquery。组织-创建于2014年11月5日cjquery。组织-创建于2015年1月16日ejquery。org-创建于2015年2月28日

于62.210.149.60(法国巴黎在线S.a.S.)

wpstat。组织-创建于2015年4月5日wplibs。组织-创建于2015年4月5日wpquery。org-创建于2015-04-05

恶意软件演变

在本节中,我们将向您展示攻击是如何随时间演变的。

最初攻击者在PHP代码和注入的JS代码中使用相同的域。早期版本的恶意脚本是这样的:

当他们的当前域开始出现问题(例如黑名单)时,他们每隔几个月就会引入新的伪jQuery域。

然后,在4月份,微信ddos防御算法,他们改变了策略,决定在PHP代码中重用旧域(这是不公开的)但是在另一台服务器上为公开可见的JS注入创建了一些新的假域。

你也可以通过他们在PHP代码中混淆这些域的方式看到它是如何演变的:

随着时间的推移,他们还向PHP代码和JS添加了一些随机性,使脚本更难检测。最初,他们只在页脚部分注入脚本,但在最近的版本中,它可以在页眉或页脚:

远程脚本现在以50%的概率注入。

重定向

如果您试图在浏览器中打开恶意脚本,许多人将看不到任何内容,但这并不意味着它们是良性的。js响应的标题显示它们是由PHP引擎提供的,而不是作为静态内容提供的,因此对于真正感兴趣的用户,防御ddos限制端口,它们的内容可能随时发生变化。此时,我们知道脚本可能会将一些访问者重定向到hxxp://lock。页面请求。com/mobile/m.html,它将桌面用户进一步重定向到hxxp://online-news . 美国/在家工作报告/和移动用户的URL如下:

hxxp://link.clickdirected.com/tracking202/redirect/dl.php?t202id=553&t202kw=hxxp://bangkokboy.791.a.clickbetter.com

感染向量

在所有情况下,我们都会看到恶意代码被注入合法的高级插件和主题,然后在不可信的网站上分发。如果你用谷歌搜索短语[wp_func_jquery],你会发现一些论坛帖子,人们会在这些所谓的各种插件的"空"包中发现这些恶意代码。这种感染媒介在WordPress世界非常流行,我们以前在博客中提到过在您的网站上使用盗版软件的威胁。

大多数提供"无效"软件的专业网站之所以存在,维盟路由器ddos防御设置,是因为它们将后门、恶意软件和黑帽搜索引擎优化垃圾邮件注入到它们提供的盗版软件中。这不是WordPress特有的问题。这同样适用于Joomla!的"空"扩展、模板等!,Drupal和其他CMS。我们建议您阅读一篇关于CryptoPHP恶意软件的精彩文章(由Fox IT撰写),该恶意软件的主要发行渠道是"无效"插件和扩展。