พบ Malware jQuery.min.php โจมตีเว็บไซต์นับพัน พร้อมแนวทางการตรวจสอบและป้องกัน

เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้

• เป้าหมายหลักของการโจมตีคือเว็บที่ใช้ WordPress และ Joomla โดยใน WordPress จะอยู่ที่ไฟล์ header.php ของ Theme และใน Joomla จะอยู่ใน index.php ของ Template
• Script จะถูกฝังอยู่ก่อนการปิดแท็ก </head>
• Script จะไม่ถูก Obfuscate เพื่อหลอกให้ผู้ดูแลเว็บไซต์ตายใจว่าเป็น Script ปกติ
• Malware จะถูกฝังไว้ที่ /js/jquery.min.php
• ยังมีบั๊กของ Script นี้ที่จะ Inject ตัวเองซ้ำเรื่อยๆ ทำให้พอจะใช้เป็นช่องทางในการตรวจสอบได้จากโค้ดที่ปรากฎซ้ำๆ จนผิดสังเกต และอาจ Inject ตัวเองผิดที่ เช่น Inject เข้าไปตรงส่วนของ Comment ที่มีคำว่า </head>

สำหรับผู้ที่อยากตรวจสอบว่าเว็บตัวเองถูกโจมตีหรือไม่ สามารถใช้ https://sitecheck.sucuri.net/ เข้าไปตรวจสอบได้ฟรีๆ ทันที

 

การป้องกันเว็บไซต์จาก Fake jQuery Injection

• ลบโค้ดส่วนที่ถูก Inject เข้ามาออก
• พยายามอัพแพทช์, อุดช่องโหว่ และค้นหาว่าถูกโจมตีเข้ามาผ่านการวาง Backdoor เอาไว้ที่ไหน
• แก้รหัสผ่านของ User ในเว็บไซต์ทั้งหมด และลบ User แปลกปลอมออกไป
• ลบ Plugin แปลกปลอมออก และอัพเดต Plugin ที่ใช้งานอยู่ให้หมด
• หาทางป้องกัน Brute Force Attack เพื่อเดารหัสผ่านของ Admin
• ใช้บริการ Web Application Firewall (WAF) เช่น https://sucuri.net/website-firewall/ ที่สามารถตรวจความพยายามในการเจาะช่องโหว่ และการทำ Brute Force ได้

 

ที่มา: https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html