约5500个WordPress网站被发现存在按键记录器

据外媒报道,目前约有5500和使用WordPress博客程序搭建的网站,被感染了恶意脚本,会记录访问者的键盘操作,有的时候还会加载运行在浏览器上的挖矿脚本。

据悉,黑客使用各种手段攻击了这些使用WordPress程序搭建的站点,然后将恶意脚本隐藏在了functions.php文件中,这些恶意脚本都加载于一个cloudflare.solutions的域名上,不过,该域名和云计算服务商Cloudflare并无任何关系。

约5500个WordPress网站被发现存在按键记录器

据安全专家分析,黑客将恶意脚本隐藏在了functions.php文件中,熟悉WordPress程序的人都知道,该文件是一个所有WordPress主题都必须配置的文件,这些恶意脚本能够在网站的前端和后端同时加载,这就意味着,它还能够用户窃取管理员登录凭证和WordPress电商网站上的用户数据,比如说信用卡数据和用户的个人信息。

一、黑客攻击脚本解析

根据网站源代码搜索引擎PublicWWW提供的数据显示,目前有5496个WordPress运行着这一按键记录程序,已知的两个加载按键记录程序脚本如下:

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >

当这些恶意脚本加载成功后,被窃取的数据就会被传输到cloudflare.solutions所在的远程Websocket上。

约5500个WordPress网站被发现存在按键记录器

因此,如果网站使用的是WordPress程序,且恶意代码驻留在function.php文件中请务必删除add_js_scripts函数以及所有涉及到add_js_scripts的add_action语句。

二、此次攻击事件并非首例

根据Sucuri监控网站的数据显示,黑客的第一次攻击发生在四月份,利用恶意的JS代码在被黑的网站上嵌入横幅广告来谋取利益。

第二次攻击则发生在十一月份并持续到了当月23日,影响网站数量为1833个,这次黑客直接改变了策略,在被黑的网站上加载了伪装成jQuery和Google Analytics JavaScript文件的恶意脚本,而这些恶意脚本实际上都是Coinhive的浏览器挖矿脚本。

约5500个WordPress网站被发现存在按键记录器

最近,一系列攻击再度发生,攻击者保留了之前的伪装挖矿脚本,并添加了键盘记录器组件,前文笔者已经提到,该组件可以在前端和后端同时加载,因此建议网站所有者处了删除伪装JS脚本之外,最好是修改一下自己登录凭证!

本文最后更新于2017-12-10 21:30,如存在内容或图片失效,请留言反馈,我们会及时处理,谢谢!
文章来源:栋科技
版权链接:约5500个WordPress网站被发现存在按键记录器
正文到此结束
EMLOG

热门推荐

喜欢就评论一下吧!

发表评论

    avatar
    • 嘻嘻 大笑 可怜 吃惊 抛媚眼 调皮 鄙视 示爱 哭 开心 偷笑 嘘 奸笑 委屈 抱抱 怒 思考 流汗
    0
    努力提交中...