圖片來源: 

Wiz

安全廠商近來發現,有數千到上萬網站被駭客以合法FTP憑證及其他方法控制,並對數十萬用戶發動資料竊取,或導向成人網站。

安全廠商Wiz發現,從去年9月開始,上萬個面向中國用戶的網站被不明攻擊組織駭入劫持,其面向用戶的網頁被植入竊密程式碼。目前這樁攻擊仍在持續當中。

研究人員先發現,駭客劫持代管在東亞Azure服務上的多個Web 服務,懷疑是一樁更大規模攻擊的一部分。攻擊者從一個專門管理Web App的FTP端點,從1個靜態IP以合法FTP憑證存取這些服務,並在原有HTML程式碼增加一行參照遠端網頁代管的Javascript標籤。這些惡意改造的網頁,有些還能將造訪的用戶導向成人網站。研究人員判斷,這些合法FTP登入憑證可能是之前外洩而被駭客取得。

研究人員進一步追查後推斷,這是一波更大規模攻擊的一部分,他們相信,從去年秋天到今年2月已有至少1萬網站被駭入,每月有數十萬用戶遭重導引攻擊。

受害的網站中許多是小型企業,但也不乏跨國公司。由於受害網站使用的技術和服務類型很分散,目前研究人員還無法判斷攻擊者是使用了哪些漏洞、錯誤配置、或利用來自哪些來源的密碼憑證,也尚未追查出這波攻擊的發動組織。

研究人員建議,若企業是以FTP維護網站,最好使用FTPS或SFTP(FTP over SSL/TLS)安全協定並使用長用戶名稱及密碼,以免遭駭客劫持。如果企業發現在網頁伺服器上存在可能的入侵指標(indicators of compromise),研究人員建議輪換網站管理金鑰、在所有網域及網站上找出所有惡意的Javascript程式碼,或是以受信任的映像檔重新部署伺服器、重新安裝軟體、並升級到最新版本。

熱門新聞

Advertisement