在将近5500个受感染的WordPress网站上发现了键盘记录器
将近5500个WordPress站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。
恶意脚本从“cloudflare.solutions ”的域名加载,它与Cloudflare没有任何关系,恶意脚本能记录用户在表单字段内输入的任何内容。
该脚本加载在站点的前端和后端,这意味着当登录到站点的管理面板时,它还可以记录用户名和密码。
当左边的脚本在前端运行时,也很危险。在大多数WordPress网站上,唯一可以窃取用户数据的地方是评论栏,一些WordPress网站被配置为在应用商店上配置,在这些实例中,攻击者可以记录信用卡数据和个人用户详细信息。
这些事件大多发生是因为黑客通过各种手段入侵WordPress站点,并将恶意脚本隐藏在函数内,php是所有WordPress主题的标准文件。
攻击者自4月以来一直处于活跃状态
这些攻击并不新,在cloudflare.solutions上,安全人员跟踪了至少三个不同的恶意脚本。
到了11月,这个组织改变了策略,并将恶意脚本伪装成伪jQuery和谷歌分析JavaScript文件,而这些JavaScript文件实际上是对浏览器中加密货币的一种拷贝。截至11月22日,该活动在1833个网站上被发现。
在最近的一系列攻击中,安全人员也检测到,黑客已经保留了加密脚本,但也添加了键盘记录器组件。
恶意脚本在将近5500个WordPress站点上运行
据PublicWWW报道,这个恶意的脚本版本目前活跃在5496个网站上,大多数排名在Alexa前20万。
已知装载keylogger(键盘记录器)的两个恶意脚本是:
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >
被盗数据被发送到wss://cloudflare[.]solutions:8085端口。
安全专家为那些在cloudflare.solutions上发现脚本的用户提供解决方案。
正如我们已经提到的,恶意代码驻留在function.php文件中,你应该删除add_js_scripts函数和所有提到add_js_scripts的add_action语句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的WordPress密码都被破坏了,所以下一个步骤是修改密码(实际上,在任何网站黑客攻击之后,它都是非常推荐的),别忘了检查你的网站是否有其他感染。
领取专属 10元无门槛券
私享最新 技术干货