Hackede WordPress-websteder brugt til DDoS-angreb mod ukrainske mål

Af Vivi Knudsen
Med bidrag fra
Sead Fadilpašić
 published

Kompromitterede WordPress-websteder indeholdte skadeligt JavaScript-koder

Rusland
(Foto: Shutterstock / Aleksandra Gigowska)

Ukraines computerberedskabsteam CERT-UA har advaret om et igangværende distribuerede netværksangreb (DDoS-angreb). 

BleepingComputer rapporterer, at ukendte trusselsaktører udfører angrebet ved hjælp af WordPress-websteder (opens in new tab), der er inficeret med skadelige JavaScript-koder. 

Scripts indføres i HTML-strukturen af webstedets hovedfiler og er krypteret med base64 for at holde dem skjulte. Når nogen besøger webstedet, bliver deres ekstra computerkraft dermed brugt til at udføre et stort antal anmodninger mod URL-målene.

Politiske konnotationer

De besøgende på webstedet bliver praktisk talt de robotter, der udfører DDos-angrebet ved at oversvømme de ukrainske websteder med for meget trafik til, at serverne kan håndtere det. 

Det værste ved det hele er, at udover et meget diskret problem med ydeevnen for den besøgende, er angrebet stort set umuligt at få øje på.

 Nogle af de målrettede websteder inkluderer:

  • kmu.gov.ua 
  • callrussia.org 
  • gngforum.ge 
  • secjuice.com 
  • liqpay.ua 
  • gfis.org.ge 
  • playforukraine.org 
  • war.ukraine.ua 
  • micro.com.ua 
  • fightforua.org
  • edmo.eu 
  • ntnu.no 
  • megmar.pl
Læs også

> Denne password-brøler begår danskerne igen og igen (opens in new tab)

> Ifølge Google var 2021 et rekordår for zero-day-hackerangreb (opens in new tab)

> Deadline for MitID er blevet rykket (opens in new tab)

Disse websteder har efter sigende "en stærk holdning til fordel for Ukraine" i den igangværende krig med Rusland, og det er grunden til, at de blev målrettet. 

Udover at advare om angrebet har CERT-UA også instrueret kompromitterede websteder om, hvordan de opdager og fjerner den skadelige JavaScript-kode fra deres websted. 

"For at detektere lignende unormale aktivitet i logfilerne på webserveren, skal du være opmærksom på hændelserne med svarkoden 404. Hvis de er unormale, skal du korrelere dem med værdierne af HTTP-headeren 'Referer', som vil indeholde adressen på den webressource, der initierede en anmodning," sagde CERT-UA. 

På det tidspunkt, hvor advarslen blev offentliggjort, var der 36 websteder, som indeholdte den skadelige kode.

Via BleepingComputer (opens in new tab)

Vivi Knudsen

Vivi har flere års erfaring inden for en bred vifte af emner og arbejdet for højt profilerede virksomheder i bl.a. tech-branchen med fokus på nyheder, anmeldelser, guides og idéer til problemløsninger. Hun elsker at være i stand til at hjælpe folk med at finde måder og produkter, der gør livet lidt lettere i hverdagen. Vivi har arbejdet det meste af sit liv i musik- og underholdningsbranchen. Hun har stor passion for alt, hvad der har med musik og film at gøre, og streaming ligger højt på listen over hendes interesser.

Med bidrag fra
Se mere Computere nyheder

Other versions of this page are available with specific content for the following regions: