约5500个WordPress网站被发现存在按键记录器
- A
据外媒报道,目前约有5500和使用WordPress博客程序搭建的网站,被感染了恶意脚本,会记录访问者的键盘操作,有的时候还会加载运行在浏览器上的挖矿脚本。
据悉,黑客使用各种手段攻击了这些使用WordPress程序搭建的站点,然后将恶意脚本隐藏在了functions.php文件中,这些恶意脚本都加载于一个cloudflare.solutions的域名上,不过,该域名和云计算服务商Cloudflare并无任何关系。
据安全专家分析,黑客将恶意脚本隐藏在了functions.php文件中,熟悉WordPress程序的人都知道,该文件是一个所有WordPress主题都必须配置的文件,这些恶意脚本能够在网站的前端和后端同时加载,这就意味着,它还能够用户窃取管理员登录凭证和WordPress电商网站上的用户数据,比如说信用卡数据和用户的个人信息。
一、黑客攻击脚本解析
根据网站源代码搜索引擎PublicWWW提供的数据显示,目前有5496个WordPress运行着这一按键记录程序,已知的两个加载按键记录程序脚本如下:
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >
当这些恶意脚本加载成功后,被窃取的数据就会被传输到cloudflare.solutions所在的远程Websocket上。
因此,如果网站使用的是WordPress程序,且恶意代码驻留在function.php文件中请务必删除add_js_scripts函数以及所有涉及到add_js_scripts的add_action语句。
二、此次攻击事件并非首例
根据Sucuri监控网站的数据显示,黑客的第一次攻击发生在四月份,利用恶意的JS代码在被黑的网站上嵌入横幅广告来谋取利益。
第二次攻击则发生在十一月份并持续到了当月23日,影响网站数量为1833个,这次黑客直接改变了策略,在被黑的网站上加载了伪装成jQuery和Google Analytics JavaScript文件的恶意脚本,而这些恶意脚本实际上都是Coinhive的浏览器挖矿脚本。
最近,一系列攻击再度发生,攻击者保留了之前的伪装挖矿脚本,并添加了键盘记录器组件,前文笔者已经提到,该组件可以在前端和后端同时加载,因此建议网站所有者处了删除伪装JS脚本之外,最好是修改一下自己登录凭证!
