不少 WordPress 網(wǎng)站正在遭受黑客們的攻擊，通過注入的惡意腳本，利用訪問者的瀏覽器對烏克蘭網(wǎng)站進(jìn)行分布式拒絕服務(wù)攻擊。今天，MalwareHunterTeam 發(fā)現(xiàn)一個 WordPress 網(wǎng)站被入侵使用這個腳本，針對十個網(wǎng)站進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊。

這些網(wǎng)站包括烏克蘭政府機(jī)構(gòu)、智囊團(tuán)、烏克蘭國際軍團(tuán)的招募網(wǎng)站、金融網(wǎng)站和其他親烏克蘭的網(wǎng)站。

目標(biāo)網(wǎng)站的完整清單如下。

https://stop-russian-desinformation.near.page

https://gfsis.org/

https://93.79.82.132/

https://195.66.140.252/

https://kordon.io/

https://war.ukraine.ua/

https://www.fightforua.org/

https://bank.gov.ua/

https://liqpay.ua

https://edmo.eu

當(dāng)加載時，JavaScript 腳本將迫使訪問者的瀏覽器對列出的每個網(wǎng)站執(zhí)行 HTTP GET 請求，每次不超過 1000 個并發(fā)連接。DDoS攻擊將在后臺發(fā)生，而用戶不知道它正在發(fā)生，只是他們的瀏覽器會變慢。這使得腳本能夠在訪問者不知道他們的瀏覽器已被用于攻擊的情況下進(jìn)行 DDoS 攻擊。

對目標(biāo)網(wǎng)站的每個請求都將利用一個隨機(jī)查詢字符串，這樣請求就不會通過 Cloudflare 或 Akamai 等緩存服務(wù)提供，而是直接由被攻擊的服務(wù)器接收。例如，DDoS 腳本將在網(wǎng)站服務(wù)器的訪問日志中產(chǎn)生類似以下的請求。

"get /?17.650025158868488 http/1.1"

"get /?932.8529889504794 http/1.1"

"get /?71.59119445542395 http/1.1"

BleepingComputer 只找到了幾個感染了這種 DDoS 腳本的網(wǎng)站。然而，開發(fā)者 Andrii Savchenko 表示，有數(shù)百個 WordPress 網(wǎng)站被破壞，以進(jìn)行這些攻擊。Savchenko 在Twitter上說：“實際上大約有上百個這樣的網(wǎng)站。都是通過WP漏洞。不幸的是，許多供應(yīng)商/業(yè)主沒有反應(yīng)”。

在研究該腳本以尋找其他受感染的網(wǎng)站時，BleepingComputer 發(fā)現(xiàn)，親烏克蘭的網(wǎng)站 https://stop-russian-desinformation.near.page，也在使用同樣的腳本，用于對俄羅斯網(wǎng)站進(jìn)行攻擊。在訪問該網(wǎng)站時，用戶的瀏覽器被用來對67個俄羅斯網(wǎng)站進(jìn)行 DDoS 攻擊。

雖然這個網(wǎng)站澄清它將利用訪問者的瀏覽器對俄羅斯網(wǎng)站進(jìn)行DDoS攻擊，但被攻擊的WordPress網(wǎng)站在網(wǎng)站所有者或其訪問者不知情的情況下使用了這些腳本。

（舉報）