大规模攻击活动以数据库凭据为目标

作者 : 三网云 本文共1222个字,预计阅读时间需要4分钟 发布时间: 2020-08-18 共84人阅读

在2020年5月29日至5月31日之间,Wordfence防火墙阻止了超过1.3亿起旨在通过下载130万个站点的配置文件来收集其数据库凭据的攻击。

该攻击活动的高峰发生在2020年5月30日。目前,来自此活动的攻击占整个WordPress生态系统所有尝试利用插件和主题漏洞进行攻击75%

大规模攻击活动以数据库凭据为目标-三网云-小程序源码|商业源码|专注精品源码|免费下载网站|分享不一样的源码资源平台
我们能够将这些攻击与以前针对类似规模的XSS漏洞的同一威胁参与者联系起来。所有Wordfence用户(包括Wordfence Premium和仍在使用免费版本的Wordfence的用户)都受到我们防火墙内置目录遍历保护的保护。

不同的漏洞,相同的IP

先前报道的XSS活动发送了来自20,000多个不同IP地址的攻击。新的战役使用相同的IP地址,这是大多数攻击和目标站点的原因。该活动还攻击了以前的XSS活动中未包含的近一百万个新站点。

与XSS广告系列一样,几乎所有攻击都针对过时的插件或主题中的较旧漏洞,这些漏洞允许下载或导出文件。在这种情况下,攻击者将尝试下载wp-config.phpWordPress,这是对所有WordPress安装都至关重要的文件,除了身份验证唯一密钥和盐之外,还包含数据库凭据和连接信息。有权访问此文件的攻击者可以访问该站点的数据库,该站点中存储了网站内容和用户。

妥协指标

在服务器日志中应该可以看到此活动的攻击。查找wp-config.php查询字符串中包含任何返回200响应代码的日志条目。

以下列出了此广告系列中攻击性最高的10个IP地址。

200.25.60.53
51.255.79.47
194.60.254.42
31.131.251.113
194.58.123.231
107.170.19.251
188.165.195.184
151.80.22.75
192.254.68.134
93.190.140.8

我该怎么办?

运行Wordfence的网站受到此广告系列的保护。如果您的站点未运行Wordfence,并且您认为自己已受到攻击,请立即更改数据库密码和身份验证唯一密钥和盐

如果将服务器配置为允许远程数据库访问,则具有数据库凭据的攻击者可以轻松添加管理用户,泄露敏感数据或完全删除站点。即使您的站点不允许远程数据库访问,知道您站点的身份验证密钥和盐的攻击者也可以使用它们来更轻松地绕过其他安全机制。

如果您不满意上述更改,请与您的主机联系,因为更改数据库密码而不更新wp-config.php文件可能会暂时关闭您的站点。

结论

在今天的帖子中,我们介绍了自2月以来一直在跟踪的威胁演员针对WordPress网站的另一次大规模攻击活动。所有Wordfence用户(包括运行免费版Wordfence和Wordfence Premium的网站)都受到保护,免受这些攻击。尽管如此,我们还是建议您确保所有插件和主题都保持最新状态,并与您认识的任何其他网站所有者或管理员共享此信息。这个威胁参与者的攻击正在不断发展,我们将继续分享可用的其他信息。

 


1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程资源,可以到审核区发布,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!

三网云-小程序源码|商业源码|专注精品源码|免费下载网站|分享不一样的源码资源平台 » 大规模攻击活动以数据库凭据为目标

常见问题FAQ

美化包支持最新版本吗?
三网云最新美化支持永久更新!
VIP一天可以下载多少资源
开通三网云会员,资源可以无限制下载

发表评论