黑客是如何利用Joomla Google地图插件进行反射DDoS攻击的

安全研究人员最近发现了大量利用Joomla Google地图插件漏洞进行的反射DDoS攻击。

来自Akamai科技安全工程及响应团队(Prolexic Security Engineering & Response Team, PLXsert)的研究人员发现Google地图插件中的一个漏洞,能够让攻击者将安装Google地图插件的Joomla服务器变成用于DDoS的工具。令人担心的是,这个被取名为“Joomla反射DDoS攻击”的方法成本非常低,非常容易运行。

Joomla反射DDoS

反射DDoS似乎成为了DDoS攻击者们的新时尚。2014年第四季度,Akamai观察到39%的DDoS攻击流量是使用的反射方法,这种方法利用了某种网络协议或者是程序漏洞,能够让DDoS攻击者将恶意流量反射到第三方服务器或者设备上。分布式反射拒绝服务攻击对地下罪犯非常常见。

黑客利用了一个Joomla(一套在国外相当知名的内容管理系统)Google地图插件中的漏洞进行攻击,这个漏洞在2014年初被发现。

“2014年2月,Joomla的Google地图插件中的多个漏洞被发现。其中一个漏洞能够让插件充当代理。有漏洞的服务器被一起用作DAVOSET和UFONet等工具发动的反射攻击。”

报告中称:

DAVOSET发动Joomla反射DDoS攻击非常有效,软件包含一份存在Google地图插件漏洞能被利用的服务器列表。DAVOSET还能让用户使用他们自己的反射服务器,程序很容易配置:每个反射服务器的请求数量、使用的代理服务器配置等。UFONet是另一款能够被用来进行反射攻击的工具,也非常容易进行Joomla反射DDoS。

“和DAVOSET一样,它使用了web界面和点击式的配置。这些界面友好的特点能让攻击者非常轻易地配置代理(如:Tor)、定制header,和其他攻击选项。图二展示了攻击如何配合代理进行,图三展示了工具的界面。”

图二

图三

Akamai的研究人员发现大量Joomla网站自2014年9月被黑客滥用,成为肉鸡。近150,000存在漏洞的网站能被用作Joomla反射攻击:

“攻击包含的流量中的签名符合提供雇佣DDoS服务的网站上的签名,犯罪分子似乎使用了专门滥用XML和Open Redirect函数的工具进行攻击,这种攻击造成的反射response能能够被定向到目标机器并导致拒绝服务。这些工具正快速的流行起来并被‘雇佣DDoS’市场修改、升级。”

攻击来源

Akamai确认这种攻击2015年仍在进行,攻击流量的主要来源是德国(31.8%),美国(22.1%)和波兰(17.9%)。

防御基于云的DDoS攻击

这份报告中还附上了用于抵御Joomla反射DDoS攻击的Snort规则,专家还建议拟定一份DDoS防御计划,因为这种攻击越来越常见了。

Akamai安全事务部门高级副总裁兼总经理Stuart Scholly称:

“SaaS(Software-as-a-service,软件即服务)服务提供商提供的web应用中的漏洞为网络犯罪集团提供了条件。大量的漏洞犹如茫茫大海,这个漏洞是其中又一个web应用漏洞,非常难以找寻。企业得要拟定一份DDoS防御方案,以抵御无数基于云的SaaS服务器被用来进行拒绝服务攻击的流量。”

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

OLE 0Day漏洞病毒通杀主流Windows

Windows被曝存在一个编号为CNNVD-201410-268的OLE 0Day漏洞,该漏洞影响所有主流Windows操作系统(不包括XP系统)。此外,俄罗斯...

3015
来自专栏FreeBuf

逃避沙箱并滥用WMI:新型勒索软件PyLocky分析

毫无疑问,在目前的网络威胁领域中,勒索软件仍然扮演着十分重要的角色。实际上,在2018年上半年勒索软件的活动还有所增加,并且相关勒索软件还通过各种升级更新来尝试...

822
来自专栏FreeBuf

MongoDB数据库意外暴露超过200万墨西哥公民的医疗健康数据

最近,一个MongoDB数据库被发现可以通过互联网公开访问,其中包含了超过200万(2,373,764)墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、...

642
来自专栏架构师小秘圈

kafka极简教程

kafka是用于构建实时数据管道和流应用程序。具有横向扩展,容错,wicked fast(变态快)等优点,并已在成千上万家公司运行。 ? 一,简单说明什么是ka...

3794
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-6 FB65供应商贷项凭证

4.6 FB65参考发票输入供应商贷项凭证 收到有关交货不足的供应商贷项凭证。该贷项凭证必须在 SAP 系统中手动过帐。 角色:应付会计 会计核算-财务会计-应...

43211
来自专栏云鼎实验室的专栏

IoT 分析 | 路由器漏洞频发,mirai 新变种来袭

作者:murphyzhang、xmy、hjchjcjh  前言: 近期腾讯安全云鼎实验室听风威胁感知平台监测发现一款攻击路由器的蠕虫病毒,经过分析,认定此款蠕...

2772
来自专栏FreeBuf

绑定金融账号的Apple ID有风险,外媒也来支招

根据Bloomberg的最新报道,近期发生了一系列针对天朝人民的网络攻击,网络犯罪分子利用窃取来的Apple ID来入侵用户的账号,并从中窃取大量金钱。随后,腾...

932
来自专栏腾讯云安全的专栏

比特币勒索蠕虫病毒血洗互联网,腾讯云率先为云上用户排查

1924
来自专栏黑白安全

新型技术利用 UPnP 协议避免 DDoS 缓解方案

据外媒 15 日报道,美国知名网络安全公司 Imperva 于本周一发布报告称攻击者正在尝试使用 UPnP协议来屏蔽 DDoS 泛洪期间发送的网络数据包源端口,...

672
来自专栏黑白安全

Nigelthorn 恶意软件滥用 Chrome 扩展感染超过 10 万个系统

近日,研究人员发现名为 Nigelthorn 的恶意软件异常活跃,利用 Google Chrome 扩展程序 Nigelify 发起攻击,已经感染了 100 多...

562

扫码关注云+社区

领取腾讯云代金券