Seda pahavara märgati esmakordselt 2017. aastal ja see on nakatanud enam kui miljonit WordPressi kasutavat saiti. Siin on, mida peate teadma.

WordPress ei ole küberrünnakute suhtes võõras ja on nüüd kannatanud uue ärakasutamise all, mille kaudu on nakatunud üle miljoni saidi. See pahatahtlik kampaania on toimunud Balada Injectorina tuntud pahavara abil. Kuid kuidas see pahavara töötab ja kuidas suutis see nakatada üle miljoni WordPressi saidi?

Balada Injectori pahavara põhitõed

Balada Injector (esmakordselt võeti selline kasutusele a Dr. Veebi aruanne) on pahavaraprogramm, mida on kasutatud alates 2017. aastast, mil see tohutu WordPressi nakatumiskampaania algas. Balada Injector on Linuxi-põhine tagaukse pahavara, mida kasutatakse veebisaitidele imbumiseks.

Tagaukse pahavara ja viirused saab mööda tavalistest sisselogimis- või autentimismeetoditest, võimaldades ründajal pääseda juurde veebisaidi arendaja poole. Siit saab ründaja teha volitamata muudatusi, varastada väärtuslikke andmeid ja isegi saidi täielikult sulgeda.

instagram viewer

Tagauksed kasutavad ära veebisaitide nõrkusi, et saada volitamata juurdepääsu. Paljudel veebisaitidel on üks või mitu nõrkust (tuntud ka kui turvahaavatavus), nii et paljudel häkkeritel ei ole raskusi sissepääsu leidmisega.

Niisiis, kuidas suutsid küberkurjategijad Balada Injectori abil ohtu seada enam kui miljoni WordPressi saidi?

Kuidas Balada nakatas üle miljoni WordPressi saidi?

2023. aasta aprillis teatas küberjulgeolekufirma Sucuri pahatahtlikust kampaaniast, mida ta oli jälginud alates 2017. aastast. Aastal Sucuri ajaveebi postitus, öeldi, et 2023. aastal tuvastas ettevõtte SiteChecki skanner Balada Injectori olemasolu üle 140 000 korra. Leiti, et üht veebisaiti rünnati šokeerivalt 311 korda, kasutades Balada Injectori 11 erinevat variatsiooni.

Sucuri teatas ka, et tal on "rohkem kui 100 allkirja, mis hõlmavad nii serverifailidesse sisestatud pahavara esi- kui ka tagaosa variatsioone ja WordPressi andmebaasid." Ettevõte märkas, et Balada Injectori nakkused toimuvad tavaliselt lainetena, sageduse suurenedes iga paari nädala tagant.

Nii paljude WordPressi saitide nakatamiseks sihis Balada Injector spetsiaalselt platvormi teemade ja pistikprogrammide haavatavused. WordPress pakub oma kasutajatele tuhandeid pistikprogramme ja laia valikut liideste teemasid, millest mõned on varem teiste häkkerite sihikule sattunud.

Eriti huvitav on see, et Balada kampaanias sihitud haavatavused on juba teada. Mõned neist haavatavustest tunnistati aastaid tagasi, teised aga alles hiljuti. Balada Injectori eesmärk on püsida nakatunud saidil kaua pärast selle juurutamist, isegi kui selle kasutatud pistikprogramm saab värskenduse.

Eespool nimetatud ajaveebi postituses loetles Sucuri mitmeid Balada juurutamiseks kasutatud nakkusmeetodeid, sealhulgas:

  • HTML-i süstid.
  • Andmebaasi süstid.
  • SiteURL-i süstid.
  • Suvalised failisüstid.

Lisaks kasutab Balada Injector koodi String.fromCharCode segamiseks, nii et küberjulgeoleku teadlastel on seda raskem tuvastada ja ründetehnikas mistahes mustreid tuvastada.

Häkkerid nakatavad WordPressi saite Baladaga, et suunata kasutajaid pettuslehtedele, nagu võltsloteriid, teavituspettused ja võltstehniliste aruannete platvormid. Balada võib ka väärtuslikku teavet nakatunud saitide andmebaasidest välja filtreerida.

Kuidas vältida Balada injektori rünnakuid

Balada Injectori vältimiseks võib kasutada mõningaid tavasid, näiteks:

  • Veebisaidi tarkvara (sh teemade ja pistikprogrammide) korrapärane värskendamine.
  • Tarkvara korrapärane puhastamine.
  • Aktiveerimine kahefaktoriline autentimine.
  • Kasutades tugevaid paroole.
  • Saidi administraatori õiguste piiramine.
  • Failide terviklikkuse kontrollisüsteemide juurutamine.
  • Kohaliku arenduskeskkonna failide hoidmine serverifailidest eraldi.
  • Andmebaasi paroolide muutmine pärast mis tahes kompromissi.

Selliste toimingute tegemine aitab teil oma WordPressi veebisaiti Balada eest kaitsta. Sucuril on ka a WordPressi puhastusjuhend mida saate kasutada oma saidi pahavara vabaks hoidmiseks.

Balada injektor on endiselt lahti

Selle artikli kirjutamise ajal on Balada Injector endiselt väljas ja nakatab veebisaite. Kuni see pahavara on täielikult peatatud, kujutab see jätkuvalt ohtu WordPressi kasutajatele. Kuigi on šokeeriv kuulda, kui palju saite see juba nakatunud on, pole te õnneks täiesti abitu tagaukse haavatavuste ja pahavara, nagu Balada, vastu, mis neid vigu ära kasutab.