导语:5500个wordpress站点感染了可以记录按键、甚至价值浏览器内挖矿机的恶意脚本——keylogger,可窃取用户名密码和信用卡数据。

该恶意脚本来源于域名cloudflare.solutions,但是该站点与Cloudflare并没有隶属关系,该脚本可以记录用户input field的任何输入。而且,该脚本在站点的前端和后端都会加载,这就意味着可以当登录到站点的管理面板时,可以记录用户名和密码。

WordPress-site-keylogger.png

WordPress site站点上的Keylogger

当脚本在前端运行时,也是很危险的。在大多数的wordpress站点,该脚本只能窃取comment域的用户数据。因为一些wordpress站点被配置成在线商店了,所以攻击者可以记录信用卡数据和个人的其他隐私信息。

当wordpress站点出现这样的情况时,说明该站点被黑了。攻击者利用各种方式将恶意脚本隐藏在functions.php文件中,因为该文件是wordpress主题中的标准文件,不会引起怀疑。

攻击从4月发起

这并不是一种新型的攻击,Sucuri追踪发现cloudflare.solutions域名上至少有3种不同的恶意脚本。第一个是4月份,攻击者利用恶意的JS文件在被黑的网站上嵌入广告。

11月的时候,攻击者就改变了攻击的策略,将恶意脚本伪装成假的jQuery和Google Analytics JS文件,这实际上是Coinhive浏览器内的加密货币挖矿机。截止11月22日,已经有1833个站点被黑。

检测到的最近的一次攻击是,黑客除了保留加密货币挖矿机脚本外,还添加了keylogger组件。

根据PublicWWW的数据分析,恶意脚本至少存在于5496个站点中。

专家建议

因为恶意代码存在于wordpress主题的function.php文件中,所以移除add_js_scripts函数和与add_js_scripts相关的所有语句。

另外,因为恶意软件有keylogger的功能,所以需要考虑wordpress站点密码泄露的问题,下一步应该修改wordpress的登录密码。y

源链接

Hacking more

...