隐藏在站点里的恶意脚本
最近大约有 5,500 个 WordPress 站点感染了一个记录击键的恶意脚本,有时还会加载浏览器中的加密货币矿工。
恶意脚本一般从名为
“cloudflare.solutions” 的域加载,该域与 Cloudflare 无关,只要用户从输入字段切换,就会记录用户在表单字段中输入的内容。
该脚本同时加载到网站的前端和后端,这意味着它可以在登录到网站的管理面板时记录用户名和密码。
脚本在前台运行时也是危险的。虽然在大多数的 WordPress 网站上,它可以窃取用户数据的唯一地方是来自评论领域,一些 WordPress 网站被配置为在线商店运行。在这些情况下,攻击者可以记录信用卡数据和个人用户信息。
这些事件大多发生是因为黑客通过各种手段攻击了 WordPress 站点,并将恶意脚本隐藏在 functions.php 中,这是在所有 WordPress 主题中找到的标准文件。
攻击者从四月份开始一直活跃
这些攻击并不新鲜。
专家 Sucuri 已经跟踪了至少三个在 cloudflare.solutions 域中托管的不同恶意脚本。
脚本活跃在近 5500 个 WordPress 网站上
据 PublicWWW 称,这个恶意脚本版本目前在 5496 个站点上活跃,大多数排在 Alexa Top 20,000 之外。 已知加载键盘记录的两个恶意脚本是:
被盗的数据被发送到 wss://cloudflare[.]solutions:8085/.
专家为从 cloudflare.solutions 域发现加载在其网站上的脚本的所有者提供了以下暂时解决建议:
“
正如我们已经提到的,恶意代码驻留在 WordPress 主题的 function.php 文件中。您应该删除 add_js_scripts 函数和所有提及 add_js_scripts 的 add_action 子句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的 WordPress 密码,所以下一个强制性步骤是改变密码(实际上强烈建议在任何网站破解之后)。不要忘记检查您的网站是否也有其他感染。
”
网友评论
网友
哎,又出幺蛾子,我得上我的站点看看有没有泄露隐私。
嗯,网络时代就得时刻注意安全啊~
小编
网友
这个恶意脚本的目的看来也是为了挖矿。
没办法,现在虚拟货币炒得太热了。
小编
网友
平时就应该做好防护措施,不要等到出事后才想到补救。
对的,加强网络安全意识,定期排毒、杀毒。
小编
领取专属 10元无门槛券
私享最新 技术干货