Возобновились атаки сайтов на Joomla и Wordpress

Возобновились атаки на сайты, работающие на платформах Wordpress и Joomla через внедрение поддельных скриптов. Об этом сообщается в лаборатории антивируса Avast.

В качестве атак используется JavaScript-библиотека JQuery для внедрения вредоносного кода в миллионы сайтов под управлением Wordpress и Joomla. Согласно ИБ-экспертам компании Avast, в последнее время распространены поддельные версии JQuery, сообщается в уведомлении SecurityLab.ru.

Киберпреступники внедряют фальшивый скрипт на страницы сайтов, работающих на платформах Wordpress и Joomla. В результате сайт оказывается скомпрометирован.

По словам исследователей, поддельные скрипты были обнаружены в 70 млн уникальных файлов на взломанных сайтах. С ноября 2015 года из-за большого количества атак на зараженные ресурсы под жертвами стали около 4,5 млн. пользователей.

После внедрения код используется для повышения SEO других доменов, позволяющих киберпреступникам не только распространять инфекцию дальше и увеличивать количество скомпрометированных сайтов, но и зарабатывать деньги, путем перехода жертвы на рекламные домены или с помощью других видов мошенничества.

В начале февраля SecurityLab.ru сообщал о вредоносной кампании, направленной на сайты под управлением WordPress. Позже было выяснено, что начались атаки на ресурсы, работающие Joomla, об этом сообщил в феврале исследователь SANS ISC Брэд Дункан.

Заражение начинается через внедрение на сайт JavaScript-сценария с вредоносным кодом, который отображает вредоносную рекламу и фреймы <iframe>, а также создает несколько бэкдоров и повторно заражает сайт в случае удаления вредоносного ПО.

Посетители зараженных ресурсов перенаправляются на вредоносные сайты, содержащие наборы эксплоитов Nuclear и Angler. Злоумышленники инфицируют ПК жертв вымогательским ПО TeslaCrypt, шифруя данные на компьютере и требует выкуп за восстановление доступа к информации.

Вирус перенаправляет пользователей на сайт Admedia, работающий в качестве гейтвея между набором эксплоитов и скомпрометированным ресурсом. В дальнейшем компьютер пользователя инфицируется вымогательским ПО TeslaCrypt.

Методы борьбы с атаками

На многочисленных форумах, в том числе и на JoomlaForum.ru, не однократно велись обсуждения, как защитить свои сайты. Однако стоит выделить самые эффективные методы:

  1. Регулярное обновление Joomla. При регулярном обновлении системы риск заражение уменьшается в разы, так как разработчики Joomla максимально быстро реагируют на информацию о тех или иных дырах безопасности.
  2. Если вы еще используете линейки Joomla! 1.0, Joomla! 1.5, Joomla! 1.6-2.5, Joomla 3.0-3.4, то вы подвергаетесь риску заражения сайта, так как во всех версиях есть те или иные дыры безопасности, а многие расширения с уязвимыми местами более не поддерживают старые версии Joomla. Поэтому как можно скорее обновите свои сайты!
  3. Следите за регулярными обновлениями сторонних расширений.
  4. Уделите внимание визуальным редактором, так как часто именно через функцию загрузки файлов хакеры могут получить доступ к вашему сайту.
  5. Не забывайте сканировать свои сайты антивирусами, установленными на вашем хостинге, или сканером AI-Bolit.
  6. Установите на свой ПК на котором вы работаете с сайтами через FTP качественный антивирус. Например я использую AVG, но вы можете выбрать другой.
  7. Не храните на ПК в открытом виде логины и пароли.
  8. Не передавайте логины и пароли через социальные сети.

Если у вас есть вопросы, то много ответов на них вы можете прочитать в нашей ветке форума Безопасность сайтов на Joomla, а также задать свои вопросы!

Это интересно:

Комментарии  

Олег
0 # Олег 13.04.2016 13:12
Подскажите, пожалуйста!
джумла 3.5.1
PHP 7
хостинг reg.ru
Стоит RSFirewall
Последнии два дня
в папке /tmp постоянно появляются файлы типа (3ff6776abc9db1abef27f31b 9ee3b9c6 и thumb_03815fc3ea44c231526 7383e92709f19) около 80 шт. - удаляю, они снова появляются через минуту. скачивал сайт на ПК, сканировал антивирусником, ничего нет

RSFirewall последнии дня 4 фиксирует заход на сайт раза по 4 в день с оного америкосовского ip (Обнаружен опасный пользовательский агент.) заблокировал.

Посоветуйте что делать
Ответить | Ответить с цитатой | Цитировать | Сообщить модератору

Добавить комментарий

Обновить
Защитный код

Joomla!® CMS — пожалуй, лучшая система управления контентом с открытым исходным кодом

Joomla! — это больше, чем просто программное обеспечение, это люди, включающие разработчиков, дизайнеров, системных администраторов, переводчиков, копирайтеров, и, что самое главное — простых пользователей.

Мы рады пригласить вас в ряды нашего сообщества!

Скачать Joomla! 3 Документация Joomla! CMS Свернуть

Новости портала

Новое в блогах

Видео