键盘记录器用法新姿势：挖矿

Sucuri的研究人员最近发现了超过2000个WordPress站点又被黑客攻击，用来挖掘门罗币。

根据分析，这次黑客是用键盘记录器的办法来实施的攻击，这与2017年12月初发生的5500个WordPress站点被窃取用户名密码和信用卡数据的技术非常类似。攻击过程很简单，攻击者首先要找到不安全的WordPress网站，这些网站通常是运行较老的WordPress版本或较旧的主题和插件，然后黑客利用这些网站的漏洞将恶意代码注入到CMS的源代码中。

在管理员登录的页面，恶意代码会加载托管在第三方域的键盘记录器，运行键盘记录器后，受影响网站的网页表单上的任何信息都将被偷偷地发送给攻击者，从而窃取用户的登录凭证。如果攻击者得到了网站管理员的凭据，那他们就可以不依靠漏洞就能进入该网站。然后攻击者就会通过运行这些网站，大量占用用户的CPU来挖矿。

攻击从2017年4月就现端倪了

Sucuri追踪发现这并不是一种新型的攻击，cloudflare.solutions这个恶意软件自2017年4月被发现以来，就一直很活跃，且技术不断迭代。目前cloudflare.solutions域名上至少有3种不同的恶意脚本，最早的一个是2017年4月份出现的，攻击者利用恶意的JS文件在被黑的网站上嵌入广告。

2017年11月的时候，攻击者就改变了攻击的策略，将恶意脚本伪装成假的jQuery和Google Analytics JS文件，这实际上是Coinhive浏览器内的加密货币挖矿机。截止去年黑客除了保留加密货币挖矿机脚本外，还添加了keylogger组件。

根据PublicWWW的2017年的数据分析，恶意脚本至少存在于5496个站点中。

在2017年12月8日，安全研究人员曾发布过关于这款键盘记录器恶意软件的文章，几天后，存放恶意脚本的域名被下线。然而，这不是恶意软件战斗的终点，攻击者立即又注册了多个域名，包括：在12月8日注册了cdjs[.]online，在12月9日注册了cdns[.]ws，12 月16日注册了msdns[.]online。根据PublicWWW的数据分析，有超过2000个站点正在从这三个域加载脚本。

源码搜索引擎PublicWWW已经确定了一些受感染的网站：受cdns[.]ws感染的有129个，受cdjs[.]online感染的有103个，但是大部分网站可能还没有被索引。自2017年12月中旬以来，msdns[.]online已经感染了上千个网站，但大多数都是来自已经被入侵的网站的再感染。

在攻击中使用的注入脚本

在过去的一个月里，这种攻击使用了多种注入脚本：

hxxps://cdjs[.]online/lib.js

hxxps://cdjs[.]online/lib.js?ver=…

hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…

hxxps://msdns[.]online/lib/mnngldr.js?ver=…

hxxps://msdns[.]online/lib/klldr.js

cdjs[.]online脚本不仅被注入到WordPress数据库中（wp_posts表），还被注入到主题的functions.php文件中，因为该文件是wordpress主题中的标准文件，不会引起怀疑。

Sucuri的研究人员还担心，并不是所有受影响的网站都被收录在PublicWWW中，实际受害者的数量可能会更大。

三个恶意的IP地址

已经确定这个新的攻击是利用以下3个服务器：

185.209.23.219（cdjs[.]online或3117488091，在这里仍然可以找到keylogger的cloudflare[.]solutions版本）

185.14.28.10（或3104709642，仍然保留hxxp//185.14.28.10/lib/jquery-3.2.1.min.js？v=3.2.11的cryptominer和cloudflare[.]solutions版本的键盘记录器hxxp//185.14.28.10/lib/kl.js）

107.181.161.159（cdns [.] ws和msdns [.]online,它提供了新版本的挖矿器和键盘记录器）

缓解措施

虽然本次的攻击不及去年12月份的那次攻击规模，但再感染率表明仍然有许多网站即使在攻击后还没有做好保护措施，有些网站可能都没有注意到之前的感染。

所以，你需要从主题的functions.php中删除恶意代码，扫描wp_posts表以发现可能的注入，修改所有WordPress密码，并更新所有服务器软件，包括第三方的主题和插件。