Hơn 1.000 trang web WordPress đã bị lây nhiễm bởi mã JavaScript của bên thứ ba, mã này đã tiêm vào bốn cửa hậu riêng biệt, theo một báo cáo gần đây từ The Hacker News.
- Số lượng trang web bị lây nhiễm: Hơn 1.000 trang web WordPress đã bị xâm phạm.
- Các cửa hậu đã tiêm: Mã JavaScript độc hại tiêm vào bốn cửa hậu riêng biệt:
- Cửa hậu 1: Tải lên và cài đặt một plugin giả có tên “Ultra SEO Processor” để thực hiện các lệnh do kẻ tấn công phát hành.
- Cửa hậu 2: Tiêm mã JavaScript độc hại vào `wp-config.php`.
- Cửa hậu 3: Thêm một khóa SSH được kiểm soát bởi kẻ tấn công vào `~/.ssh/authorized_keys` để truy cập từ xa liên tục.
- Cửa hậu 4: Thực thi các lệnh từ xa và tải về một payload khác từ `gsocket[.]io` để mở một shell đảo ngược.
- Miền cung cấp mã độc hại: Mã JavaScript độc hại được phục vụ thông qua `cdn.csyndication[.]com`, với nhiều đến 908 trang web có tham chiếu đến miền này.
- Các bước giảm thiểu: Để giảm thiểu rủi ro, người dùng được khuyên nên xóa các khóa SSH không được ủy quyền, thay đổi thông tin đăng nhập quản trị WordPress, và theo dõi nhật ký hệ thống để phát hiện các hoạt động nghi ngờ.
Cuộc tấn công này nhấn mạnh tầm quan trọng của việc thường xuyên cập nhật các plugin và chủ đề WordPress lên phiên bản mới nhất và đảm bảo rằng tất cả phần mềm đều được cập nhật để ngăn chặn các lỗ hổng như vậy.
Nguồn: https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html
