Bleeping Computer 網(wǎng)站披露，網(wǎng)絡(luò)安全分析師發(fā)現(xiàn) GoDaddy 管理服務(wù)器上托管的部分 WordPress 網(wǎng)站，被部署了大量后門，所有網(wǎng)站都具有相同的后門有效載荷。

據(jù)悉，這次網(wǎng)絡(luò)攻擊可能影響到許多互聯(lián)網(wǎng)服務(wù)經(jīng)銷商，已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。

2022 年 2 月 11 日，Wordfenc 安全團(tuán)隊(duì)首次觀察到此次惡意活動(dòng)。經(jīng)過(guò)一段時(shí)間追蹤，發(fā)現(xiàn) 24 小時(shí)內(nèi)約有 298 個(gè)網(wǎng)站感染后門，其中 281 個(gè)網(wǎng)站托管在 GoDaddy。

網(wǎng)絡(luò)安全研究員透漏，感染后門的網(wǎng)站允許攻擊者從 C2 中獲取垃圾郵件鏈接模板，用于將惡意網(wǎng)頁(yè)注入到用戶搜索結(jié)果中，進(jìn)行虛假宣傳，誘導(dǎo)受害者購(gòu)買假冒產(chǎn)品。

此外，攻擊者還能夠通過(guò)更改網(wǎng)站內(nèi)容等明顯違規(guī)行為，損害網(wǎng)站聲譽(yù)，但這些似乎都不是威脅者最終目的。

糟糕的是，這種模式的網(wǎng)絡(luò)攻擊發(fā)生在服務(wù)器上而不是瀏覽器上，很難從用戶端檢測(cè)到和阻止，因此本地網(wǎng)絡(luò)安全工具不會(huì)檢測(cè)到任何可疑的東西。

供應(yīng)鏈攻擊

此次網(wǎng)絡(luò)攻擊的入侵載體還沒(méi)有得到確定，雖然看起來(lái)很接近供應(yīng)鏈攻擊，但目前不能證實(shí)。

無(wú)論如何，如果用戶的網(wǎng)站托管在GoDaddy的WordPress管理平臺(tái)上，請(qǐng)務(wù)必盡快掃描wp-config.php文件，查找潛在的后門注入。

值得注意的是，2021 年 11 月，GoDaddy 披露一起數(shù)據(jù)泄露事件，影響范圍涵蓋 120 萬(wàn)客戶和多個(gè)WordPress 管理服務(wù)經(jīng)銷商，包含上文提到的六個(gè)。

Bleeping Computer 已經(jīng)聯(lián)系了 GoDaddy，期望獲取更多關(guān)于攻擊活動(dòng)的信息，但沒(méi)有收到回復(fù)。

參考文章：

https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/