约有5500个WordPress站点感染了一个记录键盘点击的恶意脚本,有时还会加载浏览器中的加密货币矿工。
恶意脚本正在从“cloudflare.solutions”域加载,该域与Cloudflare无关,只要用户从输入字段切换,就会记录用户在表单字段中输入的内容。
该脚本同时加载到网站的前端和后端,这意味着它可以在登录到网站的管理面板时记录用户名和密码。
脚本在前台运行时也是危险的。 虽然在大多数的WordPress网站上,它可以窃取用户数据的唯一地方是来自评论领域,一些WordPress网站被配置为在线商店运行。 在这些情况下,攻击者可以记录信用卡数据和个人用户信息。
这些事件大多发生是因为黑客通过各种手段攻击了WordPress站点,并将恶意脚本隐藏在functions.php中,这是在所有WordPress主题中找到的标准文件。
攻击者从四月份开始一直活跃这些攻击并不新鲜。 Sucuri已经跟踪了至少三个在cloudflare.solutions域中托管的不同恶意脚本。
第一个发生在四月份,攻击者利用恶意JavaScript文件在被黑网站上嵌入横幅广告。
到了十一月份,同一个团队改变了策略,并加载了伪装成假jQuery和Google Analytics JavaScript文件的恶意脚本,这些文件实际上是Coinhive在浏览器中加密货币矿工的副本。 到11月22日,这个运动被发现在1,833个地点。
在Sucuri检测到的这一系列最新的攻击中,黑客已经将cryptojacking脚本保留在原地,但也添加了键盘记录组件。
脚本活跃在近5500个WordPress网站上据PublicWWW称,这个恶意脚本版本目前活跃在5496个站点上,大多数排在Alexa Top 20,000之外。
已知加载键盘记录的两个恶意脚本是:
< script type='text/javascript' src='https://www.linuxidc.com/hxxp:/cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script > < script type='text/javascript' src='https://www.linuxidc.com/hxxp:/cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >The stolen data is sent to a remote websocket at wss://cloudflare[.]solutions:8085/.
Sucuri专家为从cloudflare.solutions域发现加载在其网站上的脚本的所有者提供了以下暂时解决建议。
正如我们已经提到的,恶意代码驻留在WordPress主题的function.php文件中。 您应该删除add_js_scripts函数和所有提及add_js_scripts的add_action子句。 考虑到这个恶意软件的键盘记录功能,你应该考虑所有的WordPress密码,所以清理的下一个强制性步骤是改变密码(实际上强烈建议在任何网站破解之后)。 不要忘记检查您的网站是否也有其他感染。
英文原文:Keylogger Found on Nearly 5,500 Infected WordPress Sites