Возобновились атаки сайтов на Joomla и Wordpress

Возобновились атаки на сайты, работающие на платформах Wordpress и Joomla через внедрение поддельных скриптов. Об этом сообщается в лаборатории антивируса Avast.

В качестве атак используется JavaScript-библиотека JQuery для внедрения вредоносного кода в миллионы сайтов под управлением Wordpress и Joomla. Согласно ИБ-экспертам компании Avast, в последнее время распространены поддельные версии JQuery, сообщается в уведомлении SecurityLab.ru.

Киберпреступники внедряют фальшивый скрипт на страницы сайтов, работающих на платформах Wordpress и Joomla. В результате сайт оказывается скомпрометирован.

По словам исследователей, поддельные скрипты были обнаружены в 70 млн уникальных файлов на взломанных сайтах. С ноября 2015 года из-за большого количества атак на зараженные ресурсы под жертвами стали около 4,5 млн. пользователей.

После внедрения код используется для повышения SEO других доменов, позволяющих киберпреступникам не только распространять инфекцию дальше и увеличивать количество скомпрометированных сайтов, но и зарабатывать деньги, путем перехода жертвы на рекламные домены или с помощью других видов мошенничества.

В начале февраля SecurityLab.ru сообщал о вредоносной кампании, направленной на сайты под управлением WordPress. Позже было выяснено, что начались атаки на ресурсы, работающие Joomla, об этом сообщил в феврале исследователь SANS ISC Брэд Дункан.

Заражение начинается через внедрение на сайт JavaScript-сценария с вредоносным кодом, который отображает вредоносную рекламу и фреймы <iframe>, а также создает несколько бэкдоров и повторно заражает сайт в случае удаления вредоносного ПО.

Посетители зараженных ресурсов перенаправляются на вредоносные сайты, содержащие наборы эксплоитов Nuclear и Angler. Злоумышленники инфицируют ПК жертв вымогательским ПО TeslaCrypt, шифруя данные на компьютере и требует выкуп за восстановление доступа к информации.

Вирус перенаправляет пользователей на сайт Admedia, работающий в качестве гейтвея между набором эксплоитов и скомпрометированным ресурсом. В дальнейшем компьютер пользователя инфицируется вымогательским ПО TeslaCrypt.

Методы борьбы с атаками

На многочисленных форумах, в том числе и на JoomlaForum.ru, не однократно велись обсуждения, как защитить свои сайты. Однако стоит выделить самые эффективные методы:

1. Регулярное обновление Joomla. При регулярном обновлении системы риск заражение уменьшается в разы, так как разработчики Joomla максимально быстро реагируют на информацию о тех или иных дырах безопасности.
2. Если вы еще используете линейки Joomla! 1.0, Joomla! 1.5, Joomla! 1.6-2.5, Joomla 3.0-3.4, то вы подвергаетесь риску заражения сайта, так как во всех версиях есть те или иные дыры безопасности, а многие расширения с уязвимыми местами более не поддерживают старые версии Joomla. Поэтому как можно скорее обновите свои сайты!
3. Следите за регулярными обновлениями сторонних расширений.
4. Уделите внимание визуальным редактором, так как часто именно через функцию загрузки файлов хакеры могут получить доступ к вашему сайту.
5. Не забывайте сканировать свои сайты антивирусами, установленными на вашем хостинге, или сканером AI-Bolit.
6. Установите на свой ПК на котором вы работаете с сайтами через FTP качественный антивирус. Например я использую AVG, но вы можете выбрать другой.
7. Не храните на ПК в открытом виде логины и пароли.
8. Не передавайте логины и пароли через социальные сети.

Если у вас есть вопросы, то много ответов на них вы можете прочитать в нашей ветке форума Безопасность сайтов на Joomla, а также задать свои вопросы!