溯源分析 | 黑客横扫亚多家云平台做流量劫持
💡
原文中文,约11700字,阅读约需28分钟。
📝
内容提要
自2022年9月上旬以来,数万个东亚用户的网站遭黑客攻击,重定向用户到成人内容。黑客使用合法FTP凭据注入恶意代码并修改文件。被入侵网站包括小公司和跨国公司,技术和托管服务各异。黑客可能出于经济动机,但影响是污染性的。建议使用复杂FTP凭据,重新安装软件并恢复资产。初始访问权限和重定向目标仍不确定。
🎯
关键要点
- 自2022年9月以来,数万个东亚用户的网站遭黑客攻击,重定向用户到成人内容。
- 黑客利用合法FTP凭据注入恶意代码,修改网站文件。
- 被入侵的网站包括小公司和跨国公司,技术和托管服务各异。
- 黑客的动机可能是经济利益,影响用户体验等同于污染。
- 建议使用复杂的FTP凭据,重新安装软件并恢复受损资产。
- 调查发现黑客通过合法FTP凭据访问目标Web服务器,注入恶意JavaScript代码。
- 重定向逻辑根据特定条件决定用户是否被重定向,可能涉及广告欺诈或SEO操控。
- 黑客使用的JavaScript脚本会收集用户信息并上传到控制的服务器。
- 重定向过程经历了变化,最初直接重定向,后通过中间服务器进行。
- 受害者网站大多在中国托管或针对中国观众,且开放FTP端口。
- 蜜罐调查显示黑客使用通用用户名和密码组合连接,未利用蜜罐上的漏洞。
- 建议网站管理员更换FTP凭据,使用FTPS或SFTP,并修复受损资产。
- 仍不确定黑客如何获得初始访问权限,可能利用密码窃取或泄露的凭据。
➡️
