近 5500个WordPress 站点中发现键盘记录！赶紧看看你的

隐藏在站点里的恶意脚本

最近大约有 5,500 个 WordPress 站点感染了一个记录击键的恶意脚本，有时还会加载浏览器中的加密货币矿工。

恶意脚本一般从名为

“cloudflare.solutions” 的域加载，该域与 Cloudflare 无关，只要用户从输入字段切换，就会记录用户在表单字段中输入的内容。

该脚本同时加载到网站的前端和后端，这意味着它可以在登录到网站的管理面板时记录用户名和密码。

脚本在前台运行时也是危险的。虽然在大多数的 WordPress 网站上，它可以窃取用户数据的唯一地方是来自评论领域，一些 WordPress 网站被配置为在线商店运行。在这些情况下，攻击者可以记录信用卡数据和个人用户信息。

这些事件大多发生是因为黑客通过各种手段攻击了 WordPress 站点，并将恶意脚本隐藏在 functions.php 中，这是在所有 WordPress 主题中找到的标准文件。

攻击者从四月份开始一直活跃

这些攻击并不新鲜。

专家 Sucuri 已经跟踪了至少三个在 cloudflare.solutions 域中托管的不同恶意脚本。

脚本活跃在近 5500 个 WordPress 网站上

据 PublicWWW 称，这个恶意脚本版本目前在 5496 个站点上活跃，大多数排在 Alexa Top 20,000 之外。 已知加载键盘记录的两个恶意脚本是：

被盗的数据被发送到 wss://cloudflare[.]solutions:8085/.

专家为从 cloudflare.solutions 域发现加载在其网站上的脚本的所有者提供了以下暂时解决建议：

“

正如我们已经提到的，恶意代码驻留在 WordPress 主题的 function.php 文件中。您应该删除 add_js_scripts 函数和所有提及 add_js_scripts 的 add_action 子句。考虑到这个恶意软件的键盘记录功能，你应该考虑所有的 WordPress 密码，所以下一个强制性步骤是改变密码（实际上强烈建议在任何网站破解之后）。不要忘记检查您的网站是否也有其他感染。

”

网友评论

网友

哎，又出幺蛾子，我得上我的站点看看有没有泄露隐私。

嗯，网络时代就得时刻注意安全啊~

小编

网友

这个恶意脚本的目的看来也是为了挖矿。

没办法，现在虚拟货币炒得太热了。

小编

网友

平时就应该做好防护措施，不要等到出事后才想到补救。

对的，加强网络安全意识，定期排毒、杀毒。

小编