近 5500个WordPress 站点中发现键盘记录!赶紧看看你的

隐藏在站点里的恶意脚本

最近大约有 5,500 个 WordPress 站点感染了一个记录击键的恶意脚本,有时还会加载浏览器中的加密货币矿工。

恶意脚本一般从名为

“cloudflare.solutions” 的域加载,该域与 Cloudflare 无关,只要用户从输入字段切换,就会记录用户在表单字段中输入的内容。

该脚本同时加载到网站的前端和后端,这意味着它可以在登录到网站的管理面板时记录用户名和密码。

脚本在前台运行时也是危险的。虽然在大多数的 WordPress 网站上,它可以窃取用户数据的唯一地方是来自评论领域,一些 WordPress 网站被配置为在线商店运行。在这些情况下,攻击者可以记录信用卡数据和个人用户信息。

这些事件大多发生是因为黑客通过各种手段攻击了 WordPress 站点,并将恶意脚本隐藏在 functions.php 中,这是在所有 WordPress 主题中找到的标准文件。

攻击者从四月份开始一直活跃

这些攻击并不新鲜。

专家 Sucuri 已经跟踪了至少三个在 cloudflare.solutions 域中托管的不同恶意脚本。

脚本活跃在近 5500 个 WordPress 网站上

据 PublicWWW 称,这个恶意脚本版本目前在 5496 个站点上活跃,大多数排在 Alexa Top 20,000 之外。 已知加载键盘记录的两个恶意脚本是:

被盗的数据被发送到 wss://cloudflare[.]solutions:8085/.

专家为从 cloudflare.solutions 域发现加载在其网站上的脚本的所有者提供了以下暂时解决建议:

正如我们已经提到的,恶意代码驻留在 WordPress 主题的 function.php 文件中。您应该删除 add_js_scripts 函数和所有提及 add_js_scripts 的 add_action 子句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的 WordPress 密码,所以下一个强制性步骤是改变密码(实际上强烈建议在任何网站破解之后)。不要忘记检查您的网站是否也有其他感染。

网友评论

网友

哎,又出幺蛾子,我得上我的站点看看有没有泄露隐私。

嗯,网络时代就得时刻注意安全啊~

小编

网友

这个恶意脚本的目的看来也是为了挖矿。

没办法,现在虚拟货币炒得太热了。

小编

网友

平时就应该做好防护措施,不要等到出事后才想到补救。

对的,加强网络安全意识,定期排毒、杀毒。

小编

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171209A005TH00?refer=cp_1026

相关快讯

扫码关注云+社区