安全厂商近来发现,有数千到上万网站被黑客以合法FTP凭证及其他方法控制,并对数十万用户发动资料窃取,或导向成人网站。
安全厂商Wiz发现,从去年9月开始,上万个方面中国用户的网站被不明攻击组织黑入劫持,其面向用户的网页被植入窃密程序代码。目前这桩攻击仍在持续其中。
研究人员先发现,黑客劫持托管在东亚Azure服务上的多个Web服务,怀疑是一桩更大规模攻击的一部分。攻击者从一个专门管理Web App的FTP端点,从1个静态IP以合法FTP凭证访问这些服务,并在原有HTML程序代码增加一行参照远程网页托管的Javascript标签。这些恶意改造的网页,有些还能将访问的用户导向成人网站。研究人员判断,这些合法FTP登录凭证可能是之前外泄而被黑客取得。
研究人员进一步追查后推断,这是一波更大规模攻击的一部分,他们相信,从去年秋天到今年2月已有至少1万网站被黑入,每月有数十万用户遭重引导攻击。
受害的网站中许多是小型企业,但也不乏跨国公司。由于受害网站使用的技术和服务类型很分散,目前研究人员还无法判断攻击者是使用了哪些漏洞、错误配置、或利用来自哪些来源的密码凭证,也尚未追查出这波攻击的发动组织。
研究人员建议,若企业是以FTP维护网站,最好使用FTPS或SFTP(FTP over SSL/TLS)安全协议并使用长用户名称及密码,以免遭黑客劫持。如果企业发现在网页服务器上存在可能的入侵指标(indicators of compromise),研究人员建议轮换网站管理密钥、在所有域名及网站上找出所有恶意的Javascript程序代码,或是以受信任的镜像文件重新部署服务器、重新安装软件、并升级到最新版本。