제약 해킹은 새로운 것이 아닙니다. 과거에 우리는 많은 인기 있는 CMS가 제약 악성코드의 표적이 되는 것을 보았습니다. 그러나 최근에야 .su 및 .eu 사이트로 리디렉션되는 것을 보았습니다.
우리가 이미 알고 있듯이 제약 악성코드는 목적에 따라 다를 수 있습니다. 일부는 데이터를 훔치도록 설계되었으며 다른 일부는 블랙햇 SEO 목적으로 웹사이트에 스팸 링크를 삽입하도록 설계되었습니다. 사실, 블랙햇 SEO 감염에 대한 제약 해킹은 꽤 일반적입니다.
비아그라, 시알리스 또는 기타 의약품을 판매한다고 주장하는 가짜 사이트로 사이트 트래픽을 리디렉션합니다. 최근에 이러한 사이트에서 .eu 및 .su와 같은 TLD가 등장했습니다. 게다가, 악성코드가 존재를 숨기기 위해 다양한 콘텐츠를 제공하기 때문에 이러한 유형의 감염은 감지하기 어렵습니다.
이 기사를 통해 이 멀웨어가 작동하는 방식에 대한 통찰력을 얻을 수 있습니다.
해킹 당했습니까? Astra와 함께 즉각적인 악성 코드 정리 요청을 제기하십시오.
제약 해킹 리디렉션
원인
잘못되어 이와 같은 감염으로 이어질 수 있는 많은 것들이 있습니다. 나는 여기에 몇 가지 일반적인 것들을 나열합니다:
- XSS 또는 SQL 삽입 취약점 또는 기타 삽입 취약점.
- 약한 FTP 비밀번호 또는 기본 자격 증명
- 플러그인 또는 패치되지 않은 CMS 취약점을 업데이트합니다.
- 부적절한 구성.
이 감염은 이러한(또는 그 이상의) 취약점을 악용하는 웹사이트에 침투할 수 있습니다. 악성 파일을 생성하고 그 안에 숨깁니다. 이러한 파일의 이름은 일반적으로 무작위로 지정됩니다. 사용자를 가짜 제약 사이트로 리디렉션하는 일부 감염된 PHP 파일의 이름은 다음과 같습니다.
맬웨어를 리디렉션하는 모든 제약 해킹 변종이 PHP 파일을 사용하는 것은 아닙니다. 일부는 다시 무작위로 이름이 지정된 HTML 파일에 의존합니다. 감염된 HTML 파일의 이름 목록:
탐지를 피하기 위해 맬웨어는 몇 가지 교활한 기술을 사용합니다. 그러한 기술 중 하나가 여기에 언급되어 있습니다.
회피 기술 사용
아래 코드를 보십시오:
코드 상단의 배열에는 리디렉션 URL에 대한 인코딩된 도메인 이름이 포함되어 있습니다. 그러나 URL은 교묘하게 숨겨져 있으며 함수 m()을 사용하여 멀웨어에 의해 추출됩니다. 및 함수 d() 위 코드의.
여기서 배열은 함수 m()에 전달됩니다. 코드의 첫 번째 줄에서. 함수 m() 차례로 함수 d()에 전달합니다. . 함수 d() "array_shift 사용 ” 메서드를 사용하여 배열의 첫 번째 요소를 가져옵니다. 이 경우 79입니다.
그런 다음 "foreach를 사용하여 배열의 각 요소를 반복합니다. ” PHP의 기능. 그런 다음 배열의 각 요소에서 첫 번째 요소 79를 하나씩 뺍니다. 이렇게 얻은 숫자는 PHP의 "chr" 기능을 사용하여 ASCII 코드에서 해당 문자로 변환됩니다.
예를 들어, 배열의 두 번째 요소는 183입니다. 따라서 183-79=104는 ASCII의 문자 'h'에 매핑됩니다. 따라서 최종적으로 리디렉션되는 도메인은 (https://hotprivatetrade[dot]su)
입니다.이 도메인을 빠르게 검색하면 비아그라, 시알리스 및 기타 제품을 판매하는 가짜 약국임을 알 수 있습니다. 가짜 사이트에는 전체 카탈로그와 사용자가 신용 카드 정보를 제공하도록 속이는 카트가 포함되어 있습니다.
사용자가 체크아웃한 후 신용 카드 피싱 페이지는 SSL 인증서도 있는 다른 악성 도메인에서 호스팅됩니다. 예:https://checkoutzdsuyfsw[dot]saferxprovider[dot]com/cart/checkout/.
멀웨어는 또한 아래 이미지와 같이 다른 웹사이트로 리디렉션됩니다. 이 웹사이트는 이미지 끝에 제공된 IP에서 호스팅됩니다.
변형
404.php
404.php라는 이름의 PHP 파일은 사이트에 사용자 정의 오류 메시지를 표시하는 데 사용됩니다. 악성코드가 아래 코드와 같이 WordPress 테마 내부에 인코딩된 404.php 파일을 생성하는 경우 한 가지 변종입니다.
코드에서 볼 수 있듯이 이 악성코드는 일반적으로 이미지에 클릭 가능한 영역을 생성하는 HTML의
메타 태그
동일한 멀웨어의 다른 유형은 를 사용합니다. 사용자를 리디렉션하는 HTML 태그. "http-equiv ” 속성은 HTTP 헤더 응답을 시뮬레이션하는 데 도움이 됩니다. content=5 옵션은 5초 후에 페이지를 새로 고치고 사용자는 "url" 옵션에 지정된 위치로 리디렉션됩니다. 또한 사용자를 리디렉션하는 동안 다음 메시지가 표시됩니다. “5초만 기다리세요! 사이트로 리디렉션 중입니다.”
자바스크립트 리디렉션
동일한 멀웨어의 또 다른 변종은 window.location.href와 결합된 메타 새로 고침을 사용합니다. 리디렉션. window.location 개체는 일반적으로 사용자를 새 페이지로 리디렉션하고 현재 페이지 주소를 가져오는 데 사용됩니다. 여기에서 메타 태그가 일부 사용자의 사용자를 리디렉션할 수 없는 경우 window.location.href 것입니다.
보호
이러한 종류의 제약 스팸은 사이트에 치명적인 영향을 미칠 수 있습니다. 이탈률을 높일 수 있을 뿐만 아니라 웹사이트의 평판에 장기적인 영향을 미칠 수 있습니다. Pharma 해킹 리디렉션 맬웨어에 감염되지 않도록 하려면 다음을 수행할 수 있습니다.
- 웹사이트의 약한 구성을 확인하고 임의의 강력한 비밀번호를 사용합니다.
- 사용되지 않는 플러그인 및 테마를 사용하지 마십시오. 의심스러운 플러그인을 제거하세요.
- CMS 버전, 플러그인 및 테마를 최신 상태로 유지하세요.
- 정기적인 보안 감사를 실시하고 방화벽을 사용합니다.
웹사이트가 이러한 악성코드에 감염되면 Astra에 악성코드 정리 요청을 제기하세요. Astra는 사이트를 청소할 뿐만 아니라 이러한 감염이 다시 발생하지 않도록 합니다. 경쟁력 있는 가격으로 Astra 보안 솔루션에는 다른 훌륭한 보안 기능이 탑재되어 있습니다.
아직 확신하지 못하셨나요? 지금 데모를 보고 직접 확인하십시오!