关于近期黑产利用编辑器漏洞植入恶意链接事件通告

关于近期黑产利用编辑器漏洞植入恶意链接事件通告

2019-02-22

TAG:在线编辑器、上传漏洞、SEO暗链

1

事件背景

近期绿盟科技应急响应团队在安全事件处置过程中,检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。

受影响网站均使用了存在漏洞的第三方在线编辑器,如Kindeditor、FCKeditor等。攻击者利用编辑器的未授权访问及上传漏洞,上传相关恶意HTML页面。结合SEO技术,提升恶意站点在搜索引擎的收录和权重。

SEE MORE →

2影响范围

通过对恶意链接进行爬虫及数据分析,经初步统计,包括政府、企业、教育、医疗、金融在内的700多个网站被植入恶意链接,截止目前还有440余个网站仍未处置。

针对此次受影响的网站,我们按照行业和地域分别进行了相关数据分析,结果如下:

受影响行业占比分布:

受影响站点数量地域分布:

3事件分析

从某受影响站点提取相关访问日志,对攻击源IP行为进行统计分析,发现攻击者的访问动作及次数均完全一致,可判断攻击者是使用相关自动化工具做了批量扫描及上传。

上传涉及的URL为:/siteadmin/Keditor/asp/upload_json.asp?dir=file,对应漏洞为kindeditor <=4.1.5文件上传漏洞。

同时我们通过对其他受害站点进行分析,发现攻击者还利用了FCKeditor上传漏洞。

上传的恶意页面,通过索引方式包含了所有其他存在同样恶意链接的网站信息。

恶意上传页面通过JS文件,最终跳转至某色情站点。

恶意页面在被搜索引擎爬取并收录后,受影响站点的搜索结果中,可查看到相关恶意页面信息。

通过搜索引擎快照,可查看到攻击者上传的原始恶意页面信息。

4溯源情况

通过日志分析,我们定位到了此次事件攻击者的两个IP:122.114.123.116、103.213.251.194,并做了相关溯源分析。

其中122.114.123.116为虚拟主机,关联了多个域名,位于河南省郑州市电信的景安BGP数据中心,判断为攻击者使用的代理或肉鸡。

而103.213.251.194疑似为攻击者位于中国香港的VPS主机,最近(2019.2.12)关联到该IP的域名cyyl123.com已于2019.2.16过期,目前无法解析。

通过查询域名(cyyl123.com)whois信息,可关联到攻击者包括邮箱、姓名及手机号在内的相关信息,但由于该域名在境外注册,whois信息真实性仅供参考。

对域名(cyyl123.com)解析记录进行分析,发现2018.3.13该域名曾经解析到某国内IP:221.229.197.171,该IP属于江苏徐州电信,且为个人用户使用。

5解决方案

1、 检查网站上传目录是否存在相关可疑html页面,并及时进行清理;

2、 检查网站所用编辑器是否存在未授权访问及上传漏洞,并根据漏洞情况做相应修复或更新;

3、 对受影响站点进行后门检测及风险评估,通过安全测试排除其他漏洞隐患;

4、 对于重要站点,建议通过网站监控服务,实时监测网站相关安全事件。

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-03-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏江湖安得便相忘

小笔记:python搜索引擎下拉框截图

作为一个程序员,被女友提需求也也是常有的事情,最近就来了一个需求,需要截取指定搜索引擎的关键词下拉框截图,就是这种的,只要度娘搜索引擎的。

11800
来自专栏IT大咖说

如何提升代码搜索效果?GitHub团队打造代码搜索领域的GLUE数据集

搜索代码进行重用、调用,或者借此查看别人处理问题的方式,是软件开发者日常工作中最常见的任务之一。然而,代码搜索引擎的效果通常不太好,和常规的 web 搜索引擎不...

9640
来自专栏zhisheng

如何做好 Elasticsearch 性能指标监控

声明:本文是较早的一篇关于Elasticsearch性能指标监控的博文,内容总结全面,作者 Emily Chang,原文地址:https://www.datad...

10820
来自专栏别先生

Lucene的全文检索学习

Lucene的官方网站(Apache的顶级项目):http://lucene.apache.org/

10410
来自专栏网络通讯杂谈

如何利用动态代理IP来做SEO(网络营销)

对动态代理IP大家都不陌生,今天我们来聊下如何利用动态代理ip来做SEO优化。其实除了SEO很多网络营销也都需要用到代理IP,因为很多网络营销的用户都知道,投票...

13160
来自专栏老码农的一亩三分地

IT兄弟连 HTML5教程 HTML文档头部元素head

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

9720
来自专栏网站漏洞修复

详细渗透测试的网站内容分析

上一节讲到渗透测试中的代码审计讲解,对整个代码的函数分析以及危险语句的避让操作,近期很多客户找我们Sine安全想要了解如何获取到网站的具体信息,以及我们整个渗透...

8610
来自专栏数据猿

数据化时代,爬虫工程师才是真正“扛把子”

就像在饭店里,你点了土豆并且能吃到,是因为有人帮你在土豆、萝卜、西红柿等中找到土豆,也有人把土豆拿到你桌上。在网络上,这两个动作都是由一位叫做爬虫的同学帮你实现...

14520
来自专栏有三AI

【NLP-ChatBot】我们熟悉的聊天机器人都有哪几类?

本篇是专栏中介绍聊天机器人的第一篇,会大概介绍聊天机器人的历史、特点、分类以及技术框架,让大家对聊天机器人有一个大致的了解。

11940
来自专栏探码科技

浅析网络数据的商业价值和采集方法

据赛迪顾问统计,在技术领域中最近10,000条专利中常见的关键词中,数据采集、存储介质、海量数据、分布式成为技术领域最热词汇。其中,数据采集是提到最多的词汇。

3900

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励