พบผู้ไม่ประสงค์ดี ใช้การโจมตีแบบ Search Engine Optimization(SEO) ของ Google โดยเว็ปไซต์ที่ถูกโจมตีมีมากกกว่า 15,000 ไซต์ โดยส่งไปยังเว็ป ที่มีใว้เพื่อ ตอบ ข้อสงสัย ปลอม ๆ ถูกพบโดย Sucuri รายงานออกมาว่า เว็ปไซต์ที่ถูกโจมตี จะมีไฟล์กว่า 20,000 ไฟล์ที่เป็นช่องทางนำไปสู่เว็ปที่ปลายทางที่ hacker ตั้งไว้โดยเว็ปไซต์ที่มีถูกโจมตีมากที่สุดจะเป็น WordPress
ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่า เป้าหมายของการโจมตีนี้คือ การเพิ่มจำนวนคนที่เขามาใช้งานเว็ปไซต์ ถาม - ตอบ ปลอมเพื่อให้ระดับในการมองเห็นในหน้าค้นหาของ Google มากขึ้น
รูปแบบการโจมตีนี้ทำให้มีโอกาสที่ในอนาคตจะมีการ แฝงมัลแวร์ หรือเว็ปฟิชชิงได้ ตัวอย่างเช่น การเข้าถึงเป็น ads.txt ไฟล์บนเว็ป เป็นอีกช่องทางที่เพิ่มช่องทางในการเข้าถึง การโฆษณาที่ปลอมได้มากขึ้น
WordPress กำลังถูกโจมตี
Sucuri รายงานว่า hacker แก้ไข WordPress PHP เช่น 'wp-singup.php','wp-cron.php','wp-settings.php','wp-mail.php','wp-blog-header.php' เป็นการเพิ่มช่องทางเข้าสู่ เว็ป ถาม - ตอบ ปลอม ในบางครั้ง จะมีการวาง PHP ไฟล์บนเว็ปไซต์ที่ต้องการ โดยการสุ่มชื่อ หรือชื่อหลอก อย่างเช่น 'wp-login.php'. ไฟล์ที่มีการถูกโจมตี หรือ มีการดัดแปลง จะมี code ที่เป็นอันตรายจะคอยเช็ค เมื่อมีผู้ใช้ล๊อคอินเข้าสู่ WordPress หรือไม่ และถ้าไม่ได้เข้าถึง WordPress
ผู้ใช้จะถูกนำไปยัง https://ois.is/images/logo-6.png URL. แต่ browser จะไม่เปิด URL เป็นไฟล์รูปอย่างที่ส่งไป แต่จะมี JavaScript โหลดขึ้นมาแทน และจะส่งผู้ใช้ไปยังเว็ปไซต์ ถาม - ตอบ ที่เข้าผ่าน google เพื่อเพิ่มยอดผู้ใช้แทน การใช้ Google search และคลิ๊ก URL เข้าไปจะเหมือนการเพิ่มสถิติในการเข้าดูของ URL นั้น ๆ ผ่าน Google ส่งผลให้เว็ปไซต์นั้นๆ ดูมีความนิยมมากขึ้นทำให้สามารถคนหาเจอได้ง่ายมากยิ่งขึ้น
Funtion ที่ใช้ 'window.location.href เป็นฟังชั่นที่ใช้ในการเปลี่ยนเส้นทางจากที่ใช้งาน Google search ไปที่โดเมนใดโดเมนหนึ่งเช่น
- en.w4ksa[.]com
- peace.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.]store
- qa.istisharaat[.]com
- en.photolovegirl[.]com
- en.poxnel[.]com
- qa.tadalafilhot[.]com
- questions.rawafedpor[.]com
- qa.elbwaba[.]com
- questions.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
การโจมตีผ่านหลายโดเมนย่อยข้างต้น การที่จะ แสดงทั้งหมดมันจะยาวเกินไป รวมทั้งหมดไว้ 1,137 รายการไว้ที่ link เว็ปไซต์ส่วนใหญ่จะถูกซ่อนไว้ใน Server Cloudflare Sucuri ไม่สามารถเข้าไปตรวจสอบการโจมตีนี้ได้ทั้งหมด Sucuri ไม่สามารถระบุได้ว่าการโจมตีนี้สามารถเปลี่ยนเส้นทางการเข้าได้อย่างไร อย่างไรก็ตาม มันอาจจะเกินจากความอ่อนแอของการเข้าถึง หรือ จากการเจาะหา password ของ admin
เพราะฉะนั้น แนะนำให้ทำการอัพเกรด Wordpress และเว็ปไซต์ CMS ให้เป็นเวอร์ชั่นล่าสุด และมีการยืนยัน 2 ชั้น กับรหัส admin
ไม่มีความคิดเห็น:
แสดงความคิดเห็น