当前位置:安全资讯 >> 全文

5500个受感染的WordPress站点上出现按键记录器

发布时间:2017-12-7 18:41 标签: wordpress,恶意脚本
分享到 0

5500WordPress站点遭恶意脚本感染,该脚本能够记录键击,甚至有时候会加载一个浏览器密币挖矿机。

这个恶意脚本加载自 cloudflare.solutions 域名,不过它跟Cloudflare之间并不存在任何关联。只要用户离开输入字段,恶意脚本就能记录用户输入表单字段中的任何内容。这脚本加载在网站的前端和后端,也就是说它还能在登录到网站的管理面板时记录用户名和密码。

这个脚本在前端运行时也会带来危险。虽然在多数WordPress站点上,它能窃取的唯一来源是从评论字段窃取用户数据,但一些WordPress站点经过配置后还能作为在线商店运行。在这种情况下,攻击者能够记录信用卡数据和用户个人详情。

发生这些事件是因为黑客通过多种渠道攻陷了WordPress站点并且将恶意脚本隐藏在functions.php中。后者是可从所有WordPress主题中找到的一个标准文件。

攻击者活跃于4月份

攻击者并非新面孔。Sucuri公司追踪了三个托管在cloudflare.solutions域名上的恶意脚本。

第一个样本出现在4月份,攻击者通过恶意JavaScript脚本将横幅广告内嵌在被黑网站上。到了11月份,这个攻击组织更改策略,加载伪装成虚假jQuery和谷歌Analytics JavaScript文件的恶意脚本,而这些jQuery和谷歌Analytics JavaScript文件实际上是对浏览器密币挖矿机Coinhive的拷贝。截止1122日,攻击已触及1833个站点。在最新一轮攻击中,黑客已准备好密币劫持脚本同时增加了按键记录组件。

脚本至少活跃于5500WordPress站点上

PublicWWW指出,这个恶意脚本版本目前活跃于5496个站点中,这些站点多数排在Alexa20万名之外。

Sucuri公司专家提供了一些缓解措施:如之前所述,这个恶意代码存在于WordPress主题中的function.php文件中。你应该删除add_js_scripts函数以及所有提到add_js_scriptsadd_action语句。鉴于这款恶意软件存在按键记录功能,你应该考虑所有WordPress密码遭攻陷这个可能性,因此下一个必须采取的清理措施就是更改密码(实际上所有网站被黑后都强烈建议这么做)。不要忘了再检查下网站是否还遭受其它感染。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/
参与讨论,请先 登录 | 注册

用户评论