巴拉達噴油器

根據安全研究人員的說法，一場持續的攻擊活動提供了被跟踪為 Balada Injector 的惡意軟件，已經成功感染了超過一百萬個 WordPress 網站。據信，惡意操作至少從 2017 年開始就很活躍。網絡犯罪分子使用各種不同的技術來利用 WordPress 主題和插件中已知和新發現的漏洞，從而使他們能夠訪問目標網站。

安全公司 Sucuri 發布的詳細介紹 Balada Injector 的報告指出，新的攻擊浪潮每兩週發生一次。此特定惡意活動有多個簽名跡象，包括使用 String.fromCharCode 混淆、在新註冊的域名上部署不良腳本以及重定向到各種詐騙站點。受感染的網站用於各種欺詐目的，包括虛假技術支持、彩票欺詐和流氓 CAPTCHA 頁面，這些頁面敦促用戶打開通知以驗證他們不是機器人，從而使攻擊者能夠發送垃圾郵件廣告。

Balada 注入器利用了許多安全漏洞

在部署期間，Balada Injector 威脅利用 100 多個域和各種方法來利用眾所周知的安全漏洞，例如 HTML 注入和站點 URL。攻擊者的主要目標是獲得對存儲在 wp-config.php 文件中的數據庫憑據的訪問權限。

此外，這些攻擊旨在訪問和下載重要的站點文件，例如備份、數據庫轉儲、日誌文件和錯誤文件。他們還搜索站點管理員在執行維護任務後可能留下的任何剩餘工具，如 adminer 和 phpmyadmin。這為攻擊者提供了更廣泛的選擇來破壞網站和竊取敏感數據。

Balada 注入器為網絡罪犯提供後門訪問

Balada Injector 惡意軟件能夠生成欺詐性的 WordPress 管理員用戶，收集存儲在底層主機中的數據，並留下提供對系統的持久訪問的後門。

此外，Balada Injector 在受感染網站文件系統的頂級目錄中執行廣泛搜索，以識別屬於其他網站的可寫目錄。通常，這些站點歸同一個網站管理員所有，並共享相同的服務器帳戶和文件權限。因此，破壞一個站點可能會提供對多個其他站點的訪問，從而進一步擴大攻擊範圍。

如果這些方法失敗，管理員密碼將通過一組 74 個預先確定的憑據強制猜測。為了防止這些類型的攻擊，強烈建議 WordPress 用戶更新他們的網站軟件，刪除任何未使用的插件和主題，並為他們的 WordPress 管理員帳戶使用強密碼。