Bleeping Computer 網(wǎng)站披露，黑客入侵了一些 WordPress 網(wǎng)站，通過注入惡意腳本，利用網(wǎng)站訪問者的瀏覽器對烏克蘭網(wǎng)站進(jìn)行分布式拒絕服務(wù)攻擊(DDoS)。

最初，MalwareHunter Team 的研究人員在一個(gè)被入侵的 WordPress 網(wǎng)站上察覺到了該惡意腳本，詳細(xì)分析后發(fā)現(xiàn)，當(dāng)用戶訪問被入侵網(wǎng)站時(shí)，腳本對十個(gè)烏克蘭網(wǎng)站發(fā)起了分布式拒絕服務(wù)攻擊。

被攻擊的網(wǎng)站主要包括烏克蘭政府機(jī)構(gòu)、烏克蘭國際軍團(tuán)的招募網(wǎng)站、金融網(wǎng)站和其他親烏克蘭網(wǎng)站。

目標(biāo)網(wǎng)站的詳細(xì)名單如下：

• https://stop-russian-desinformation.near.page
• https://gfsis.org/
• http://93.79.82.132/
• http://195.66.140.252/
• https://kordon.io/
• https://war.ukraine.ua/
• https://www.fightforua.org/
• https://bank.gov.ua/
• https://liqpay.ua
• https://edmo.eu

攻擊發(fā)生時(shí)，網(wǎng)站訪問用戶并不知情

當(dāng)用戶加載注入腳本的 WordPress 網(wǎng)站時(shí)，JavaScript 腳本將迫使訪問者的瀏覽器對上述每個(gè)網(wǎng)站執(zhí)行 HTTP GET 請求，每次觸發(fā)不超過 1000 個(gè)并發(fā)連接。

DDoS 攻擊將在后臺發(fā)生，用戶不知道此時(shí)正在發(fā)生網(wǎng)絡(luò)攻擊，只是單純感覺瀏覽器速度變慢，這使得腳本能夠在訪問者不知情的狀況下進(jìn)行 DDoS 攻擊。

另外，對目標(biāo)網(wǎng)站的每個(gè)請求都利用了一個(gè)隨機(jī)查詢字符串，這樣請求就不會通過 Cloudflare 或 Akamai等緩存服務(wù)提供，而是直接由被攻擊的服務(wù)器接收。例如，DDoS 腳本將在網(wǎng)站服務(wù)器的訪問日志中產(chǎn)生類似以下的請求。：

• "get /?17.650025158868488 http/1.1"
• "get /?932.8529889504794 http/1.1"
• "get /?71.59119445542395 http/1.1"

目前，Bleeping Computer 只找到幾個(gè)感染了這種 DDoS 腳本的網(wǎng)站，然而，開發(fā)者 Andrii Savchenko 表示，通過 WP 漏洞，大約有上百個(gè) WordPress 網(wǎng)站被入侵以進(jìn)行網(wǎng)絡(luò)攻擊。

值得一提的是，在研究該腳本以尋找其他可能受感染的網(wǎng)站時(shí)，Bleeping Computer 發(fā)現(xiàn)，親烏克蘭的網(wǎng)站 https://stop-russian-desinformation.near.page，也在使用同樣的腳本，用于對俄羅斯網(wǎng)站進(jìn)行攻擊，訪問該網(wǎng)站時(shí)，用戶的瀏覽器被用來對 67 個(gè)俄羅斯網(wǎng)站進(jìn)行 DDoS 攻擊。

參考文章：https://www.bleepingcomputer.com/news/security/hacked-wordpress-sites-force-visitors-to-ddos-ukrainian-targets/