Wordpress内容注入漏洞致超67000个网站遭黑产利用
前不久,雷锋网报道过博客管理系统 WordPress 在4.7.1 版本存在一个严重漏洞,导致攻击者可以在没有密码登录的情况下强行修改网站的文章内容。在该篇报道之前,WordPress 团队已经发布了4.7.2版本,修复了该漏洞。雷锋网当时也提醒:有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。
果不其然,安全公司 Sucuri 披露:”自上周一该漏洞细节公开后,攻击范围不断扩大,最近每天趋于3000次。超过67,000的网站内容已经被篡改。” 攻击状况呈现这样的趋势:
攻击者精心构造一个向目标站点REST API发起的HTTP请求,可以修改文章的标题和内容。也就是说可以在你的网站上挂上他们的文字和图片,比如赌博网站的广告,以及一些羞羞的内容。
据雷锋网了解,在发动攻击的团伙中有一个叫“w4l3XzY3”的,因此你通过Google搜索"by w4l3XzY3",就可以浏览一些被他们攻击过的站点。
这是一个漏洞虽已被修复,但仍造成大规模影响的例子。相反的是,最近微软被爆出来一个“人人都可以把电脑玩儿蓝屏”的漏洞,漏洞爆出来好几个月,微软却依然不紧不慢,非要按部就班等到2月14号才发布补丁。
人人都可以把 Windows 玩蓝屏的漏洞,微软却不急着修复
早在 2016 年 9 月 25 日,安全专家 Laurent Gaffie 就发现了一个 Windows Server 的严重安全漏洞,但是在其向微软发出警告以后,微软却迟迟没有任何动作。这可把 Laurent 惹怒了,于是他在网上大肆公布该漏洞的细节,并发出抗议表示:微软你看不起本黑客提交的漏洞?
然而微软真的很淡定地表示:“在我们的安全政策中,对于低风险的问题修复,将安排在下周二(即2月14日)。” 言外之意就是该漏洞确实很“低风险”不足为惧。
然而据外媒报道,攻击者可以利用该漏洞远程将受害者的 Win10 电脑置于蓝屏,雷锋网(公众号:雷锋网)也实测成功(演示视频见于雷锋网报道:《人人都可以把 Windows 玩蓝屏的漏洞,微软为什么不急着修复?》)。
那么为什么微软不发布紧急更新,而要等到2月14号再发布呢?雷锋网与 2016 年微软 MSRC Top 100 榜单上贡献度排行第 8 的百度安全实验室的资深安全工程师黄正取得了联系,他表示:
如果是微软的远程代码执行的 0day 漏洞被公开,微软应该会出紧急补丁,微软甚至会为 Adobe Flash 的 0day 漏洞推送紧急补丁,CVE-2017-0016 这个漏洞的攻击效果是远程蓝屏,我想微软评估危害没有那么大,所以不推紧急补丁,这个漏洞对普通网民影响是很小的,因为445、139端口默认是被防火墙保护起来的。
也就是说,微软认为该漏洞只是造成蓝屏,因此影响不太大,要等到定期发布更新时间在一并推出补丁。
上周除了 Windows ,苹果电脑的macOS 也出现了不大不小“幺蛾子”,值得读者们警惕。
新款 macOS 恶意软件耍起了 Windows 平台的“老伎俩”
外媒称,研究人员发现了两款新型 macOS 病毒,其利用了 Word 文档的“宏”(macro)功能来隐藏和执行恶意代码,一个不留神,它们就会在你的笔记本上扎根和窃取数据。这些都是曾经在 Windows 平台上耍过的“老伎俩”。
攻击者会引诱粗心的用户打开已被感染的 Word 文档,恶意软件会在加载恶意宏文件后被立即执行。
万幸的是,识别这些受感染文件并不困难,因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求,但只要在这一步刹住车,就可以阻止恶意软件的传播。
但是万一,你还是“手滑”点击了“运行”,那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染(下载额外的恶意软件)。
相较于这个老伎俩,另一款恶意软件“更加先进”。它并没有利用 Word 文档作为载体,而是伪装成一款合法的应用程序。
该病毒会提示用户下载并安装一个虚假的软件更新,然后开始窃取用户的 Keychain,通过钓鱼手段骗得用户名和密码(以及其它凭证),最终将数据传回给攻击者。
对于 macOS 用户来说,避免此类攻击的最佳方式,就是慎从第三方或不被信任的网站下载软件,而是直接前往苹果 App Store、或者应用程序制作者的官方网站。否则你就要有一双能识破黑客伎俩的慧眼,毕竟“艺高人胆大”嘛。
最近国内一位女黑客火了,倒不是因为技术有多高,而是因为一年不洗澡,还倒卖银行卡被抓,我想这可能是女黑客形象被黑得最惨的一次,而且中间还出现了一个插曲。
女“黑客”一年不洗澡,真正的女黑客被张冠李戴扣污名
据南方网报道,女黑客曾某仪年仅22,却像40多岁的妇女,她在网上结识了一帮盗刷银行卡的人,于是她开始窝在房间里,每天疯狂地加QQ群,到处搜索银行卡信息,再把这些信息卖给专门盗刷银行卡的人。
落网当天,办案民警发现她的房间简直就是一个垃圾场,床上堆着脏兮兮衣服;地上是快餐盒、易拉罐。而她的电脑里发现了包含有“四大件”的银行卡信息50多万条。
女黑客本人将近1米7的个子,头发一把一把地粘在一起,凌乱地披散着。民警伸手拉她,一拉就是一手死皮。其家人说,她已一年没出门,一年没洗澡,她也不许家人进她的房间,平时吃饭由家人将饭送到房间门口。据报道,生活上一塌糊涂的曾某仪,在网上几乎无所不能,从技校毕业后网上自学成为一个黑客,除了卖银行卡信息,还做走私车买卖中介。
就这样“女黑客一年不洗澡”的新闻刷爆网络,戏剧性的一幕出现了:网站在报道该新闻时配发了知名网络安全公司启明星辰ADLab负责人孙薇的图片,导致这位真正的美女黑客被扣污名,一时间黑客全炸开了锅。
一位多奇趣的美女,一位会照顾人的姐姐,一位搞管理的黑客,一位懂技术的总监。一夜之间却和“一年不洗澡不出门,疯狂窃取别人信息的女‘黑’客”的人牵扯到一起,这让了解她的圈内朋友都感觉无法接受和愤慨。
虽然该门户网很快被下发了侵权通知书,然后当天下午删除了相关照片,但依然对其形象造成了不小的影响。孙薇对自己“无故躺枪”表示有些无奈,她说:“这个一年不洗澡女黑客新闻事件里的女主角,其实最多只能算“黑产业链”的一分子,连黑帽都算不上的,而把这样的人冠以‘黑客’,我个人觉得不是很贴切。”
此前采访过孙薇,配图被误用的媒体“安在”也表示,对于此次事件将继续追溯到底,以还网络安全从业群体之清白。
宅客频道对此表示,不要对安全从业者、黑客群体有什么不好的刻板印象,其实很多男黑客都是帅气逼人又有才华又有钱的高富帅,女黑客也有不少身娇体柔、温文尔雅的大美女,不信你去看看雷锋网宅客频道的黑客报道。