背景
近5500个WordPress站点遭恶意脚本感染,该脚本不仅能够记录键击,甚至有时还会加载一个浏览器密币挖矿机。这个恶意脚本加载自 “cloudflare.solutions” 域名,不过它跟Cloudflare之间并不存在任何关联。只要用户离开输入字段,恶意脚本就能记录用户输入表单字段中的任何内容。这脚本加载在网站的前端和后端,也就是说它还能在登录到网站的管理面板时记录用户名和密码。
这个脚本在前端运行时也会带来危险。虽然在多数WordPress站点上,它能窃取的唯一来源是从评论字段窃取用户数据,但一些WordPress站点经过配置后还能作为在线商店运行。在这种情况下,攻击者能够记录信用卡数据和用户个人详情。
发生这些事件是因为黑客通过多种渠道攻陷了WordPress站点,并且将恶意脚本隐藏在functions.php中。后者是可从所有WordPress主题中找到的一个标准文件。
攻击者活跃于4月份
攻击者并非新面孔。Sucuri公司追踪了三个托管在cloudflare.solutions域名上的恶意脚本。第一个样本出现在4月份,攻击者通过恶意JavaScript脚本将横幅广告内嵌在被黑网站上。到了11月份,这个攻击组织更改策略,加载伪装成虚假jQuery和谷歌Analytics JavaScript文件的恶意脚本,而这些jQuery和谷歌Analytics JavaScript文件实际上是对浏览器密币挖矿机Coinhive的拷贝。截止11月22日,攻击已触及1833个站点。在最新一轮攻击中,黑客已准备好密币劫持脚本同时增加了按键记录组件。
脚本至少活跃于5500个WordPress站点上
PublicWWW指出,这个恶意脚本目前活跃于5496个站点中,这些站点多数排在Alexa的20万名之外。
Sucuri公司专家提供了一些缓解措施:如之前所述,这个恶意代码存在于WordPress主题中的function.php文件中。你应该删除add_js_scripts函数以及所有提到add_js_scripts的add_action语句。鉴于这款恶意软件存在按键记录功能,你应该考虑所有WordPress密码遭攻陷这个可能性,因此下一个必须采取的措施就是更改密码(实际上所有网站被黑后都强烈建议这么做),不要忘了再检查下网站是否还遭受其它感染。
发表评论
您还未登录,请先登录。
登录