我们经常同那些受黑客攻击的站点管理员交谈,他们通常会表现的很惊讶和不理解,自己的站点为什么就成为了被攻击的对象。这些站点管理员多数都认为,如果自己的网站没有攻击者需要的重要隐私数据,如信用卡号码等。那么,攻击他们的网站完全是无用功。但不幸的是他们的想法错了,其实除了数据之外,一个站点的访问者,还可以被黑客利用其它方式进行有价值的利用。例如,攻击者可以借用被控服务器进行恶意软件的运行和宣传恶意内容,同时还可借助被控网站的信誉来大范围牟利!
就在上个月,我们针对那些被入侵网站的管理员做了一项调查。其中包括以下这些开放式问题:
我们总共收到了 873 个可以被归类的答复,我们手工做了数据的大致分析和统计归类。但在许多回复描述中我们得到了多个类别,因此下图中的百分比加起来会大于 100%。
在调查统计中我们没有包含“已安装的后门”或“已安装的恶意软件”这些类别。因为,我们认为那意味着一次入侵的结束。相反,我们更专注于回答这个问题,“攻击者为了什么?”。
从以上图表中我们可以看出,攻击者在遭受破坏的 WordPress 网站上进行了各种各样的操作。让我们来仔细分析它们,那样我们可以更好的了解攻击者背后的动机,和提升我们的防御能力。
替换内容 / 致使下线
在某些情况下,黑客会使用自己的内容替换你网站的内容。 最常见的就是来自恐怖组织等的政治内容。 其次最常见的是黑客们,只是为了吹嘘他们的技术有多厉害。 在所有这些情况下,攻击者绝对没有希望能掩盖他们的所做所为,任何访问网站的人都会第一时间知道该网站已经被人黑了。
在另一种情况下,就是攻击者恶意或无意中导致了你的网站宕机或被直接破坏。根据我们对一些被黑站点的取证分析,我们发现大多数情况下,会造成被黑站点下线的,大多都是因为攻击者在操作时失误所导致的。
攻击者为了什么?
对于那些以政治宣传为目的的攻击者而言,他们只是为了利用你网站的声誉来投递免费广告,帮助他们取得更好的宣传效果。而对于那些致力于吹嘘的攻击者而言,他们只是为了满足自己的虚荣心及提高自己的知名度。
发送垃圾邮件
垃圾邮件,如今依然是一个巨大的问题。 根据 Statistica 的统计,截至 2015年12月 在互联网上的所有电子邮件流量的 54.4% 是垃圾邮件。根据我们调查受访者的反馈,19.8%? 的 WordPress 网站被用以发送垃圾邮件。
在很多情况下,网站所有者并不知情他们的网站被利用了。 只有在某些时候,他们会发现网站的性能下降或服务器利用率急剧增高。 或者他们的主机识别它,并提醒他们。
但不幸的是,很高的百分比告警并不会引起他们太多的注意,直到他们的域名被垃圾邮件监视服务列入黑名单类似于 Spamhaus 他们才会意识到出现了某些问题。 如果你的站点现在是依靠电子邮件与客户或其他人进行沟通的,那么可能会给你造成灾难性的后果。
攻击者为了什么?
攻击者获得两个巨大的好处! 首先,他们使用你支付的免费服务器资源。 第二,他们利用了你网站的良好名誉来发送他们恶意构造的电子邮件。 最终,他们会利用这些恶意邮件,诱使用户点击到他们的恶意网站。
黑帽 SEO
攻击者可以通过多种方式,利用你的网站来提高其搜索引擎的排名。 第一种是简单地在你的域上托管网页,从而利用你的知名度来获取非法利益。如同下面的示例页所示那样。
接下来是在你的网站中,植入他们想要提高 SEO 网站的反向链接。 由于反向链接仍然是最重要的 SEO 排名因素之一,因此,如果攻击者获取了大量网站的掌控权限,那么利用这种方式无疑将给他们带来不少的好处和靠前的排名。
我们许多的受访者都使用“药店黑客”这一术语来描述这种类型的攻击,因为这种攻击大多数目的是为了提高药品销售网站的排名。
以上是攻击者在被黑网站上所隐藏的一个 html 页面示例。
攻击者为了什么?
我相信多数人都知道,排名靠前又受人欢迎的关键字是提高一个网站流量的非常快速的方式。
我相信大多数人都知道,排名很受欢迎的搜索字词是一个伟大的方式来增加网站的流量。 通过使用黑帽 SEO 的手段,攻击者能够将流量从一些合法网站转移到自己的网站。
恶意重定向
恶意重定向是攻击者将流量转发到自己网站的,一种非常有效的方式。 不知情的用户甚至都不必点击超链接或广告,就会被重定向到他们指定的恶意网站。
有时攻击者将采取非常积极的方法,将所有流量重定向到一个或多个恶意网站。 但在许多情况下,攻击者会采取措施避免检测,例如只重定向一些URL请求,在某些情况下只激活特定浏览器或设备类型的重定向。
攻击者为了什么?
这里的动机攻击者只是为了将流量,带到他们的恶意站点。
网页钓鱼
钓鱼页面试图欺骗访问者提供敏感信息。 在通常情况下,他们会假冒银行或零售商,并试图让他们直接把有价值的信息,如信用卡号码提交给他们。或者冒充各种站点登陆界面来试图抓取你的用户名密码信息,包括你 Wordpree 的用户信息。
攻击者为了什么?
盗取你的信用卡号,显而易见 他们可以使用这些数据进入你重要的在线账户,或将其用于社会工程学攻击或鱼叉式钓鱼攻击或伪造你的身份等。
分布式恶意软件安装
一旦他们入侵并控制了你的网站,攻击者便可以在你的站点安装恶意软件,并可利用你网站作为类似跳板的作用来感染其他访问者,并在他们完全不知情的情况下,将恶意软件安装到他们的计算机上。对于网站的所有者而言,这是一个严重而又致命的行为。
如果 Google 检测到发生这种情况,他们将通过他们的 安全浏览程序 来标记警告你的网站。 这将导致您的 SEO 流量显著下降。 有关详细信息,请阅读我们最近的博客文章,一个被黑客入侵后的网站对SEO会产生哪些影响。 更糟糕的是,用户对你网站的好感度和声誉都会受到严重的影响。
对你的声誉造成的影响可能是重大和持久的,幸运的是只有 2.9% 的受访者报告了这一点。
攻击者为了什么?
在数百上千个网站访问者的计算机上安装恶意软件,会致使被攻击者的信息直接被泄露和窃取,从而造成严重的破坏。
窃取用户数据
在谈到数据的窃取时,大多数人认为攻击者对他们的数据感兴趣。但我们却惊讶地得知,只有 1.1% 的受访者报告数据被窃取的情况。
我们认为主要原因是大多数 WordPress 网站并不存储敏感数据,例如用户的凭据或电子邮件地址等。被黑客入侵的网站的所有者,也很难检测到数据窃取事件的发生,因此数据统计被低估了。
攻击者为了什么?
被盗用户凭据可用于重新获得网站的登陆权限,即使该网站的用户信息已被删除。攻击者还可以在其他站点尝试使用该用户名/密码,如果被窃取的用户用的是同样的密码,那么就能达到不错的撞裤效果。
被盗的电子邮件地址可用于垃圾邮件。 显然,更敏感的信息,如信用卡号码,将更有利用价值。
站点攻击
在某些情况下,攻击者会将你的 Web服务器 作为攻击其它站点的攻击平台。 这是相对少见的,基于我们的受访者,只有 0.7% 的受访者报告发生这类情况。
攻击者为了什么?
攻击者可以使用你的服务器资源,进行免费的恶意活动。同时利用你的域名和IP,也能帮助他们在一定程度上夺过目标的防御系统。
Ransomware
Ransomware 是一种恶意勒索软件,它会阻止用户来访问你的网站,并要求你支付赎金,以恢复访问权限。 这种攻击最近在博客和安全界受到了很多关注。但是令我们感到惊讶的是,只有 0.6% 的受访者报告受到了这种类型的恶意攻击。
攻击者为了什么?
如果你没有备份,那么唯一能阻止攻击者破坏的办法,就是交赎金给他们。
恶意文件服务器
黑客经常使用被攻击者的服务器,来托管他们可以从其他服务器调用的恶意文件。 他们会悄无声息地将你服务器,变成他们专属的文件服务器。
攻击者为了什么?
攻击者可以免费将它们的文件,存储在具有良好声誉的服务器上。
引荐垃圾邮件
如果你使用 Google Analytics(分析),你可能会熟悉引荐来源网址垃圾邮件。 引荐来源网址垃圾邮件是指你网站上的漫游器流量,看起来像是来自伪造引荐来源网址。 垃圾邮件发件人,试图让网站所有者检查流量来自哪里,从而为网站带来流量。
攻击者为了什么?
许多恶意的攻击活动,前面我们已经描述过,他们可以免费使用你的服务器及IP地址。 他们的最终目标则是为他们的网站带来流量,原因往往都是出于恶意的。
?总结:
如果你认为黑客不可能对你的网站感兴趣,那么我们希望通过这篇文章,能改变你的一些想法,并给你一些洞察他们动机的建议和方法。
记住!无论你使用的网站流量多或少或托管计划的成本如何低廉,攻击者都能入侵并很好的对它进行利用。
本文由 即刻安全 编译及整理。转载需注明来源!
原文链接:https://www.wordfence.com/blog/2016/04/hackers-compromised-wordpress-sites/
转载请注明:即刻安全 » 恶意攻击者会如何利用被入侵的WordPress站点?