BleepingComputer网站披露,网络安全分析师发现部分托管在GoDaddy管理服务器上的WordPress网站被部署了大量后门,所有后门都有相同的后门负载。据悉,此次网络攻击可能影响了多家互联网服务经销商,已知的包括MediaTemple、tsoHost、123Reg、DomainFactory、HeartInternet和HostEuropeManagedWordPress。Wordfenc安全团队于2022年2月11日首次观察到该恶意活动。经过一段时间的跟踪,发现24小时内约有298个网站被后门感染,其中281个网站托管在GoDaddy上。网络安全研究人员透露,感染后门的网站允许攻击者从C2获取垃圾链接模板,用于将恶意网页注入用户搜索结果,进行虚假宣传,诱导受害者购买假冒产品。此外,攻击者还可以通过更改网站内容等明显的违规行为来损害网站的声誉,但这些似乎并不是威胁行为者的最终目标。不幸的是,这种网络攻击模式发生在服务器而不是浏览器上,并且很难从用户端检测和预防,因此本地网络安全工具不会检测到任何可疑的东西。供应链攻击尚未确定此网络攻击的入侵媒介。虽然看起来非常接近供应链攻击,但目前无法确认。无论如何,如果您的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件以查找潜在的后门注入。值得注意的是,2021年11月,GoDaddy披露了一起影响120万客户和多个托管WordPress经销商(包括上述六家)的数据泄露事件。BleepingComputer已联系GoDaddy以获取有关该攻击的更多信息,但尚未收到回复。参考文章:https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/
