Компрометация сайтов на базе WordPress с целью DDOS

Злоумышленники скомпрометировали более 30 сайтов на базе WordPress, с целью проведения DDOS атак.

При посещении скомпрометированного сайта, запускается скрипт, получающий список сайтов с адреса https://jquery.fra1.digitaloceanspaces.com/jquery.json (в данный момент не доступен).

После получения списка целей, скрипт постоянно обращается к URL из списка, передавая в качестве параметра к URL, случайную строку длиной от 0 до 20 символов, содержащую английские буквы в различных регистрах и цифры.

Результаты поиска по zoomeye

zoomeye search

 

Пример запросов:

  • /?EtAWZ7V9r5V
  • /?CszXcMgwhNGzq3YfY
  • /?qamS2oq
  • /?sR2EiKCLH7tvHAT0KtDG

Регулярное выражения, для выявление и блокировки запросов

^(.*)\?[a-zA-Z0-9]{1,20}$

Indicators of Compromise

URLs

  • https://jquery.fra1.digitaloceanspaces.com/jquery.json

base64 string

  • aHR0cHM6Ly9qcXVlcnkuZnJhMS5kaWdpdGFsb2NlYW5zcGFjZXMuY29tL2pxdWVyeS5qc29u

Добавить комментарий