[[{"content_id":437531,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"وبگاه‌های آلوده وردپرس در کمین کاربران","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"عوامل خرابکار هزاران وب‌گاه وردپرس را آلوده کرده و به‌صورت تصادفی کاربران آن‌ها را به وبگاه‌هایی که میزبان بدافزار و روش‌های کلاه‌برداری هستند، هدایت می‌‌کنند.\r\n\r\n\r\n\r\nبه گزارش واحد امنیت سایبربان؛ بر اساس گفته شرکت امنیتیِ Sucuri مهاجمان بین ۱۰ الی ۱۲ خط از کدهای آلوده را به پرونده‌ی header.php از زمینه وردپرس تزریق کرده‌اند. این کد وضعیت بازدید‌کننده را بررسی می‌کند و اگر این بازدیدکننده یک «خزنده» مربوط به موتورهای جست‌و‌جو نباشد، آن‌ها او را به وبگاه‌های مختلف آلوده از طریق زنجیره‌ای از تغییر مسیرها هدایت می‌کنند که شامل دامنه‌های متعددی می‌شوند. \r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nجای تعجب است که همه‌ی کاربران به وبگاه‌های آلوده تغییر مسیر پیدا نمی‌کنند. کدی که برای تزریق در وب‌گاه وردپرس طراحی‌شده است، برای تغییرمسیرهای تصادفی ساخته‌شده که در آن ۱۵ درصد احتمال دارد که کاربر تغییر مسیر داده شود. همچنین وبگاه‌های آلوده، یک کوکی نیز قرار می‌دهند تا بتوانند بازدیدکنندگان را برای یک سال ردیابی کنند. \r\n\r\nاگر یک وبگاه‌ها آلوده، از طریق مرورگر اینترنت اِکسپلورر مورد دسترسی قرار گیرد، زنجیره‌ی تغییرمسیرها متفاوت خواهند بود و به کاربر یک بارگیرِ بدافزار به‌عنوان به‌روزرسانی جاوا و یا فلش ارائه خواهد شد. جرمی سگورا که یک تحلیلگر ارشد بدافزار در شرکت Malewarebyte است، گزارش می‌دهد که در این حمله، وبگاه‌های جعلی پشتیبانی فناوری به بازدیدکنندگان ارائه می‌شود. \r\n\r\nجستجو برای رشته‌ی آلوده در پروند، در گوگل، ۶۰۰۰ نتیجه را در برداشت؛ البته با توجه به اینکه نمایش متن PHP‌ در بسیاری از کارگزارها غیرفعال شده است تعداد واقعی وبگاه‌های آلوده به‌احتمال‌زیاد بسیار زیادتر هستند. \r\nهمچنین جستجو برای این رشته در گوگل نشان می‌دهد که کدهای آلوده در داخل پرونده‌ footer.php نیز در وبگاه‌های وردپرس تزریق‌شده‌اند. به نظر می‌رسد که مهاجمان در ماه آوریل تصمیم به تغییر روش حمله خود به سمت پرونده‌ی header.php گرفته‌اند، اما محققان دریافته‌اند که تزریق‌هایfooter.php پیچیدگی بیشتری دارند، چراکه کد آلوده نه‌تنها برای تغییر مسیر کاربران استفاده می‌شود، بلکه صفحات بالاپری (pop-up) را نیز ارائه می‌کند و نشانی‌هایی که به آن‌ها تغییر مسیر صورت می‌گیرد می‌توانند به‌راحتی توسط مهاجمان با ارسال درخواست به وب‌گاه آلوده به‌روزرسانی شوند. \r\n\r\nدنیس سینگوبکو، محقق ارشد بدافزار در Sucuri می‌گوید: «در بسیاری از موارد، وبگاه‌های آلوده آسیب‌پذیری‌های متعددی دارند. خود آلودگی بخشی از سایر آلودگی‌های این محیط است (و یک رویداد منزوی) نیست. در برخی از موارد این آلودگی، تنها آلودگی موجود است و در درون پرونده‌ی header.phpقرار دارد. این‌یک داستان مرسوم آلودگی است که در آن مهاجمان به رابط کاربری مدیریت وردپرس دسترسی پیدا می‌کنند و می‌توانند، زمینه موجود را ویرایش کرده و ازآنجا تغییر مسیر دهند». \r\n\r\nشایان‌ذکر است که همین کد آلوده در پرونده‌ی administrator\/includes\/help.php از وبگاه‌های جوملا نیز تزریق‌شده است، اما در آنجا تعداد انگشت‌شماری از وب‌گاه‌ها آلوده‌شده‌اند. \r\n\r\nبخش امنیت شرکت آی‌بی‌ام به دارندگان وبگاه‌های وردپرس در مورد افزایش حملاتی که شامل وب‌شل c۹۹ می‌شوند، هشدار داده است. این شرکت گزارش داده است که در ماه‌های فوریه و مارس، ۱۰۰۰ حمله را مشاهده کرده است. \r\n\r\nوردپرس از محبوب‌ترین سامانه‌های مدیریت محتوا است که توسط بسیاری افراد استفاده می‌شود، البته لزوماً همه‌ی کاربران وردپرس، حرفه‌ای نیستند و همین مسئله باعث می‌شود اغلب این وب‌گاه‌ها به‌روز‌رسانی نشوند و به همین دلیل خطرات بسیاری این وب‌گاه‌ها را تهدید می‌کند.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمنبع: \r\n\r\n\r\nnews.asis.io","content_html":"

عوامل خرابکار هزاران وب‌گاه وردپرس را آلوده کرده و به‌صورت تصادفی کاربران آن‌ها را به وبگاه‌هایی که میزبان بدافزار و روش‌های کلاه‌برداری هستند، هدایت می‌‌کنند.<\/h1>\n\n
\n
\n
به گزارش واحد امنیت سایبربان؛ بر اساس گفته شرکت امنیتیِ <\/span>Sucuri<\/span> مهاجمان بین ۱۰ الی ۱۲ خط از کدهای آلوده را به پرونده‌ی <\/span>header.php<\/span> از زمینه وردپرس تزریق کرده‌اند. این کد وضعیت بازدید‌کننده را بررسی می‌کند و اگر این بازدیدکننده یک «خزنده» مربوط به موتورهای جست‌و‌جو نباشد، آن‌ها او را به وبگاه‌های مختلف آلوده از طریق زنجیره‌ای از تغییر مسیرها هدایت می‌کنند که شامل دامنه‌های متعددی می‌شوند. <\/span><\/div>\n<\/div>\n<\/div>\n\n
\n
\n
\n
\n

جای تعجب است که همه‌ی کاربران به وبگاه‌های آلوده تغییر مسیر پیدا نمی‌کنند. کدی که برای تزریق در وب‌گاه وردپرس طراحی‌شده است، برای تغییرمسیرهای تصادفی ساخته‌شده که در آن ۱۵ درصد احتمال دارد که کاربر تغییر مسیر داده شود. همچنین وبگاه‌های آلوده، یک کوکی نیز قرار می‌دهند تا بتوانند بازدیدکنندگان را برای یک سال ردیابی کنند. <\/p>\n\n

اگر یک وبگاه‌ها آلوده، از طریق مرورگر اینترنت اِکسپلورر مورد دسترسی قرار گیرد، زنجیره‌ی تغییرمسیرها متفاوت خواهند بود و به کاربر یک بارگیرِ بدافزار به‌عنوان به‌روزرسانی جاوا و یا فلش ارائه خواهد شد. جرمی سگورا که یک تحلیلگر ارشد بدافزار در شرکت Malewarebyte<\/span> است، گزارش می‌دهد که در این حمله، وبگاه‌های جعلی پشتیبانی فناوری به بازدیدکنندگان ارائه می‌شود. <\/p>\n\n

جستجو برای رشته‌ی آلوده در پروند، در گوگل، ۶۰۰۰ نتیجه را در برداشت؛ البته با توجه به اینکه نمایش متن PHP‌<\/span> در بسیاری از کارگزارها غیرفعال شده است تعداد واقعی وبگاه‌های آلوده به‌احتمال‌زیاد بسیار زیادتر هستند. 
\nهمچنین جستجو برای این رشته در گوگل نشان می‌دهد که کدهای آلوده در داخل پرونده‌ footer.php<\/span> نیز در وبگاه‌های وردپرس تزریق‌شده‌اند. به نظر می‌رسد که مهاجمان در ماه آوریل تصمیم به تغییر روش حمله خود به سمت پرونده‌ی header.php<\/span> گرفته‌اند، اما محققان دریافته‌اند که تزریق‌هایfooter.php<\/span> پیچیدگی بیشتری دارند، چراکه کد آلوده نه‌تنها برای تغییر مسیر کاربران استفاده می‌شود، بلکه صفحات بالاپری (pop-up<\/span>) را نیز ارائه می‌کند و نشانی‌هایی که به آن‌ها تغییر مسیر صورت می‌گیرد می‌توانند به‌راحتی توسط مهاجمان با ارسال درخواست به وب‌گاه آلوده به‌روزرسانی شوند. <\/p>\n\n

دنیس سینگوبکو، محقق ارشد بدافزار در Sucuri<\/span> می‌گوید: «در بسیاری از موارد، وبگاه‌های آلوده آسیب‌پذیری‌های متعددی دارند. خود آلودگی بخشی از سایر آلودگی‌های این محیط است (و یک رویداد منزوی) نیست. در برخی از موارد این آلودگی، تنها آلودگی موجود است و در درون پرونده‌ی header.php<\/span>قرار دارد. این‌یک داستان مرسوم آلودگی است که در آن مهاجمان به رابط کاربری مدیریت وردپرس دسترسی پیدا می‌کنند و می‌توانند، زمینه موجود را ویرایش کرده و ازآنجا تغییر مسیر دهند». <\/p>\n\n

شایان‌ذکر است که همین کد آلوده در پرونده‌ی administrator\/includes\/help.php<\/span> از وبگاه‌های جوملا نیز تزریق‌شده است، اما در آنجا تعداد انگشت‌شماری از وب‌گاه‌ها آلوده‌شده‌اند. <\/p>\n\n

بخش امنیت شرکت آی‌بی‌ام به دارندگان وبگاه‌های وردپرس در مورد افزایش حملاتی که شامل وب‌شل c<\/span>۹۹ می‌شوند، هشدار داده است. این شرکت گزارش داده است که در ماه‌های فوریه و مارس، ۱۰۰۰ حمله را مشاهده کرده است. <\/p>\n\n

وردپرس از محبوب‌ترین سامانه‌های مدیریت محتوا است که توسط بسیاری افراد استفاده می‌شود، البته لزوماً همه‌ی کاربران وردپرس، حرفه‌ای نیستند و همین مسئله باعث می‌شود اغلب این وب‌گاه‌ها به‌روز‌رسانی نشوند و به همین دلیل خطرات بسیاری این وب‌گاه‌ها را تهدید می‌کند.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n

\n
\n
منبع: <\/div>\n\n
\n
news.asis.io<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-05-18 14:28:43","content_date_event":"2016-05-18 14:28:43","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-05-18 14:29:28","content_date_register":"2016-05-18 14:29:28","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201605\/40641_1682684088_150_104.webp","300":".\/cache\/184\/attach\/201605\/40641_1682684088_260_180.webp","400":".\/cache\/184\/attach\/201605\/40641_1682684088_260_180.webp","600":".\/cache\/184\/attach\/201605\/40641_1682684088_260_180.webp","900":".\/cache\/184\/attach\/201605\/40641_1682684088_260_180.webp","1200":".\/cache\/184\/attach\/201605\/40641_1682684088_260_180.webp"},"ext":"png","file_media":1,"token":1682684088,"files":{"original":{"url":".\/file\/184\/attach\/201605\/40641_1682684088.png","width":260,"height":180,"size":0}}}]}]]