全球5500个WordPress网站感染了……

在将近5500个受感染的WordPress网站上发现了键盘记录器

将近5500个WordPress站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。

恶意脚本从“cloudflare.solutions ”的域名加载,它与Cloudflare没有任何关系,恶意脚本能记录用户在表单字段内输入的任何内容。

该脚本加载在站点的前端和后端,这意味着当登录到站点的管理面板时,它还可以记录用户名和密码。

当左边的脚本在前端运行时,也很危险。在大多数WordPress网站上,唯一可以窃取用户数据的地方是评论栏,一些WordPress网站被配置为在应用商店上配置,在这些实例中,攻击者可以记录信用卡数据和个人用户详细信息。

这些事件大多发生是因为黑客通过各种手段入侵WordPress站点,并将恶意脚本隐藏在函数内,php是所有WordPress主题的标准文件。

攻击者自4月以来一直处于活跃状态

这些攻击并不新,在cloudflare.solutions上,安全人员跟踪了至少三个不同的恶意脚本。

到了11月,这个组织改变了策略,并将恶意脚本伪装成伪jQuery和谷歌分析JavaScript文件,而这些JavaScript文件实际上是对浏览器中加密货币的一种拷贝。截至11月22日,该活动在1833个网站上被发现。

在最近的一系列攻击中,安全人员也检测到,黑客已经保留了加密脚本,但也添加了键盘记录器组件。

恶意脚本在将近5500个WordPress站点上运行

PublicWWW报道,这个恶意的脚本版本目前活跃在5496个网站上,大多数排名在Alexa前20万。

已知装载keylogger(键盘记录器)的两个恶意脚本是:

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >

被盗数据被发送到wss://cloudflare[.]solutions:8085端口

安全专家为那些在cloudflare.solutions上发现脚本的用户提供解决方案。

正如我们已经提到的,恶意代码驻留在function.php文件中,你应该删除add_js_scripts函数和所有提到add_js_scriptsadd_action语句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的WordPress密码都被破坏了,所以下一个步骤是修改密码(实际上,在任何网站黑客攻击之后,它都是非常推荐的),别忘了检查你的网站是否有其他感染。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171208G0UETS00?refer=cp_1026

扫码关注云+社区