公司的专家Sucuri观察数量激增的攻击,在Joomla不到24小时就发布了两个关键缺陷漏洞补丁。
10月25日,Joomla 3.6.4修复版本发布 两个高严重漏洞,cve – 2016 – 8870,cve – 2016 – 8869 。
第一个缺陷,跟踪 cve – 2016 – 8870 创建用户帐户可能被攻击者利用,即使账户登记是禁用的,而第二个缺陷,跟踪 cve – 2016 – 8869 ,可以利用用户注册一个网站,但随着高特权。
可以利用这些缺陷的组合来上传后门让Joomla网站得到完全控制。
每次一个漏洞是公开披露的,扫描器也可以直接扫描到Joomla漏洞版本。
很容易定位漏洞的在线版本,由于这个原因,专家从安全公司Sucuri监控看到有人在攻击Joomla。
收集的数据Sucuri辨别,Joomla的补丁发布后不久,攻击的数量大大增加了。
研究人员发现第一次大规模黑客攻击起源于三个IP地址在罗马尼亚,黑客试图创建一个帐户的用户名“db_cfg”和密码“fsugmze3”成千上万的用户对Joomla网站进攻击。 以下三个ipaddress攻击者使用。
82.76.195.141 82.77.15.204 81.196.107.174
从拉脱维亚Sucuri还检测到另一个IP地址用来攻击Joomla网站。
“他们这样做的目的不知道有何居心。 不久之后,另一个IP地址从拉脱维亚开始类似的大规模攻击,试图注册随机成千上万的Joomla网站上的用户名和密码。 “
显然,攻击数量的增加显著地之后,专家们开始利用分析读取。
“这些初始质量利用之后,多个研究人员和安全专家开始分享不同的利用这种攻击。 他们中的一些人甚至自动化后门的上传和使用一些独特的技术绕过媒体上传(使用。 pht 文件)。 “继续 Sucuriti 。
”导致大规模增加IP地址试图利用这个漏洞使用不同的模式和技术。”
在10月28日,感染的人数达到了27751,当然,这个数字很可能是更大的
它是将更新的Joomla网站安全重要,管理员督促检查他们的日志从IP地址的活动在Sucuri专家分享。要小心创建可疑的管理帐户。
