Возобновились атаки на сайты, работающие на платформах Wordpress и Joomla через внедрение поддельных скриптов. Об этом сообщается в лаборатории антивируса Avast.
В качестве атак используется JavaScript-библиотека JQuery для внедрения вредоносного кода в миллионы сайтов под управлением Wordpress и Joomla. Согласно ИБ-экспертам компании Avast, в последнее время распространены поддельные версии JQuery, сообщается в уведомлении SecurityLab.ru.
Киберпреступники внедряют фальшивый скрипт на страницы сайтов, работающих на платформах Wordpress и Joomla. В результате сайт оказывается скомпрометирован.
По словам исследователей, поддельные скрипты были обнаружены в 70 млн уникальных файлов на взломанных сайтах. С ноября 2015 года из-за большого количества атак на зараженные ресурсы под жертвами стали около 4,5 млн. пользователей.
После внедрения код используется для повышения SEO других доменов, позволяющих киберпреступникам не только распространять инфекцию дальше и увеличивать количество скомпрометированных сайтов, но и зарабатывать деньги, путем перехода жертвы на рекламные домены или с помощью других видов мошенничества.
В начале февраля SecurityLab.ru сообщал о вредоносной кампании, направленной на сайты под управлением WordPress. Позже было выяснено, что начались атаки на ресурсы, работающие Joomla, об этом сообщил в феврале исследователь SANS ISC Брэд Дункан.
Заражение начинается через внедрение на сайт JavaScript-сценария с вредоносным кодом, который отображает вредоносную рекламу и фреймы <iframe>, а также создает несколько бэкдоров и повторно заражает сайт в случае удаления вредоносного ПО.
Посетители зараженных ресурсов перенаправляются на вредоносные сайты, содержащие наборы эксплоитов Nuclear и Angler. Злоумышленники инфицируют ПК жертв вымогательским ПО TeslaCrypt, шифруя данные на компьютере и требует выкуп за восстановление доступа к информации.
Вирус перенаправляет пользователей на сайт Admedia, работающий в качестве гейтвея между набором эксплоитов и скомпрометированным ресурсом. В дальнейшем компьютер пользователя инфицируется вымогательским ПО TeslaCrypt.
Методы борьбы с атаками
На многочисленных форумах, в том числе и на JoomlaForum.ru, не однократно велись обсуждения, как защитить свои сайты. Однако стоит выделить самые эффективные методы:
- Регулярное обновление Joomla. При регулярном обновлении системы риск заражение уменьшается в разы, так как разработчики Joomla максимально быстро реагируют на информацию о тех или иных дырах безопасности.
- Если вы еще используете линейки Joomla! 1.0, Joomla! 1.5, Joomla! 1.6-2.5, Joomla 3.0-3.4, то вы подвергаетесь риску заражения сайта, так как во всех версиях есть те или иные дыры безопасности, а многие расширения с уязвимыми местами более не поддерживают старые версии Joomla. Поэтому как можно скорее обновите свои сайты!
- Следите за регулярными обновлениями сторонних расширений.
- Уделите внимание визуальным редактором, так как часто именно через функцию загрузки файлов хакеры могут получить доступ к вашему сайту.
- Не забывайте сканировать свои сайты антивирусами, установленными на вашем хостинге, или сканером AI-Bolit.
- Установите на свой ПК на котором вы работаете с сайтами через FTP качественный антивирус. Например я использую AVG, но вы можете выбрать другой.
- Не храните на ПК в открытом виде логины и пароли.
- Не передавайте логины и пароли через социальные сети.
Если у вас есть вопросы, то много ответов на них вы можете прочитать в нашей ветке форума Безопасность сайтов на Joomla, а также задать свои вопросы!