一款新型隐秘恶意软件攻击活动正针对 WordPress 网站展开攻击,在网站管理员毫不知情的情况下,将受信任的网页变成网络博彩广告的展示板。Sucuri 公司的安全分析师普佳・斯里瓦斯塔瓦详细披露了这种名为目录影子的复杂攻击手法,攻击者通过在服务器上创建实体文件夹,劫持网站的合法网址。
该攻击的阴险之处在于,普通访客和管理员均无法发现异常。报告指出:“谷歌搜索结果中显示的不再是网页原本的标题和描述,而是赌场、博彩相关内容”,但网站管理员自行查看时,页面显示却一切正常。
此次攻击的核心,利用了网页服务器的文件优先级规则。攻击者会创建与 WordPress 网站现有固定链接完全匹配的实体目录 —— 例如创建一个真实的 /about-us/ 文件夹,以此劫持example.com/about-us/这个虚拟网址。
由于 Apache、Nginx 这类服务器会优先加载实体文件,最终展示的将是攻击者植入的内容,而非原本的 WordPress 网页。斯里瓦斯塔瓦解释道:“此次攻击的全新点就在于目录影子的利用…… 攻击者借此可以完全劫持特定网页,且无需修改 WordPress 的实际配置”。
研究人员在这些隐藏文件夹中发现了三个文件:
- index.php:攻击的核心控制脚本
- indexx.php:网页原始内容的干净副本,用于展示给普通访客
- readme.txt:包含恶意垃圾广告内容的文件
这款恶意软件内置了识别搜索引擎爬虫的专属逻辑,会通过检查请求的用户代理字符串中是否包含 Googlebot 等关键词,决定向请求方展示何种内容。
报告指出:“当检测到请求来自谷歌相关的用户代理时,恶意软件会加载 readme.txt 文件中的内容,并直接输出到浏览器中”。
这份 readme.txt 文件本身也极具欺骗性,内含 600 多行 HTML 代码,被打造成高权重电商网站的样式,盗用了 Etsy 平台的层叠样式表和元数据,让自动化检测系统认为其是合法页面。这一手段成功欺骗谷歌搜索引擎,将该页面判定为印尼博彩网站的高评分商品列表并纳入索引。
要清除该恶意程序,管理员需跳出 WordPress 后台进行排查,修复步骤为删除与网站固定链接镜像的恶意实体目录。
斯里瓦斯塔瓦建议网站管理员提高警惕:“在服务器中发现这类垃圾广告内容需立即引起重视…… 此次攻击最明显的特征,就是服务器中出现了与 WordPress 网页固定链接同名的目录”。完成清理后,向搜索引擎提交重新索引申请是恢复网站信誉的关键步骤。
发表评论
您还未登录,请先登录。
登录