Bleeping Computer 網站披露，網絡安全分析師發現GoDaddy 管理服務器上託管的部分WordPress 網站，被部署了大量後門，所有網站都具有相同的後門有效載荷。

據悉，這次網絡攻擊可能影響到許多互聯網服務經銷商，已知的包括MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。

2022 年2 月11 日，Wordfenc 安全團隊首次觀察到此次惡意活動。經過一段時間追踪，發現24 小時內約有298 個網站感染後門，其中281 個網站託管在GoDaddy。

網絡安全研究員透漏，感染後門的網站允許攻擊者從C2 中獲取垃圾郵件鏈接模板，用於將惡意網頁註入到用戶搜索結果中，進行虛假宣傳，誘導受害者購買假冒產品。

此外，攻擊者還能夠通過更改網站內容等明顯違規行為，損害網站聲譽，但這些似乎都不是威脅者最終目的。

糟糕的是，這種模式的網絡攻擊發生在服務器上而不是瀏覽器上，很難從用戶端檢測到和阻止，因此本地網絡安全工具不會檢測到任何可疑的東西。

供應鏈攻擊

此次網絡攻擊的入侵載體還沒有得到確定，雖然看起來很接近供應鏈攻擊，但目前不能證實。

無論如何，如果用戶的網站託管在GoDaddy的WordPress管理平台上，請務必盡快掃描wp-config.php文件，查找潛在的後門注入。

值得注意的是，2021 年11 月，GoDaddy 披露一起數據洩露事件，影響範圍涵蓋120 萬客戶和多個WordPress 管理服務經銷商，包含上文提到的六個。

Bleeping Computer 已經聯繫了GoDaddy，期望獲取更多關於攻擊活動的信息，但沒有收到回复。

參考文章：

https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/