Целью взлома сайтов чаще всего является SEO-спам или вредоносные инъекции

Целью взлома сайтов чаще всего является SEO-спам или вредоносные инъекции

Целью взлома сайтов чаще всего является SEO-спам или вредоносные инъекции

Компания Sucuri опубликовала отчет об угрозах для сайтов по итогам удаленного сканирования в III квартале. Как оказалось, почти в половине случаев хакеры проводят атаки с целью спамдексинга (распространения поискового спама), а в трети — для внедрения вредоносных скриптов, отрабатывающих в браузерах посетителей.

Совокупно исследователи провели около 23,5 млн сканов, позволивших выявить более 260 тыс. случаев непрошеного вторжения. Причины успеха хакерских атак могли быть различными, но результат во всех случаях один — размещение стороннего контента, позволяющего угонять или перенаправлять трафик, распространять вредоносный софт по методу drive-by (скрытой загрузкой), собирать ПДн и платежные данные и т. п.

Анализ свидетельств взлома, обнаруженных на стороне клиента, показал, что целью хакеров зачастую является SEO-спам (почти 120 тыс. детектов) или вредоносные инъекции.

 

Поисковый спам обычно невидим глазу, его фиксируют только Google и ее бот. Это может быть набор популярных ключевых слов или реклама порносайта, нелицензированной аптеки, магазина контрафакта, которую специальный скрипт на лету вставляет, когда узнает User-Agent поисковика. В итоге атакованный сайт теряет поисковый трафик, хотя его страницы по-прежнему появляются в выдаче: при переходе по ссылке происходит редирект на ресурс, продвигаемый спамерами.

Еще одна разновидность SEO-спама — скрытый контент, постоянно присутствующий на взломанном сайте. Обычно мошенники с этой целью внедряют на страницы спам-ссылку, используя тег <div>. В этом случае ее можно выявить только просмотром HTML-кода, но поисковые системы такие вставки фиксируют.

 

Из зловредов на сайтах обнаружены внешние JavaScript-инжекты, iframe и встроенные скрипты. Наиболее часто встречались загрузчик SocGholish, предлагающий обновить Google Chrome (30% инъекций), и скрипт NDSW, присутствие которого было зафиксировано почти 21 тыс. раз. На WordPress-сайтах также найдено множество поддельных предупреждений защиты CloudFlare от DDoS.

Веб-скиммеры (59 вариаций) были выявлены на 1902 сайтах, использующих WordPress, Magento и OpenCart CMS. Аналитики не преминули отметить: сканы проводились на стороне клиента, при исследовании бэкендов (модификации PHP-файлов, инъекции в базы данных) улов мог бы быть богаче.

Рекомендации по защите сайтов от хакерских атак:

  • регулярный патчинг софта;
  • использование сильных, уникальных паролей;
  • использование многофакторной аутентификации (MFA);
  • SSL-защита внешних соединений;
  • использование WAF и средств мониторинга состояния файлов.

Полнотекстовая версия квартального отчета Sucuri по угрозам для сайтов доступна в PDF-формате на сайте компании. Кроме непрошеных изменений, привнесенных хакерами, в нем рассмотрены наиболее частые причины блокировки и проблемы с безопасностью.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru