记录我的按键就算了,还用我的电脑挖矿?过分!

阅读量85339

|评论3

发布时间 : 2017-12-08 14:18:09

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/

译文仅供参考,具体内容表达以及含义原文为准。

 

背景

近5500个WordPress站点遭恶意脚本感染,该脚本不仅能够记录键击,甚至有时还会加载一个浏览器密币挖矿机。这个恶意脚本加载自 “cloudflare.solutions” 域名,不过它跟Cloudflare之间并不存在任何关联。只要用户离开输入字段,恶意脚本就能记录用户输入表单字段中的任何内容。这脚本加载在网站的前端和后端,也就是说它还能在登录到网站的管理面板时记录用户名和密码。

这个脚本在前端运行时也会带来危险。虽然在多数WordPress站点上,它能窃取的唯一来源是从评论字段窃取用户数据,但一些WordPress站点经过配置后还能作为在线商店运行。在这种情况下,攻击者能够记录信用卡数据和用户个人详情。

发生这些事件是因为黑客通过多种渠道攻陷了WordPress站点,并且将恶意脚本隐藏在functions.php中。后者是可从所有WordPress主题中找到的一个标准文件。

 

攻击者活跃于4月份

攻击者并非新面孔。Sucuri公司追踪了三个托管在cloudflare.solutions域名上的恶意脚本。第一个样本出现在4月份,攻击者通过恶意JavaScript脚本将横幅广告内嵌在被黑网站上。到了11月份,这个攻击组织更改策略,加载伪装成虚假jQuery和谷歌Analytics JavaScript文件的恶意脚本,而这些jQuery和谷歌Analytics JavaScript文件实际上是对浏览器密币挖矿机Coinhive的拷贝。截止11月22日,攻击已触及1833个站点。在最新一轮攻击中,黑客已准备好密币劫持脚本同时增加了按键记录组件。

 

脚本至少活跃于5500个WordPress站点上

PublicWWW指出,这个恶意脚本目前活跃于5496个站点中,这些站点多数排在Alexa的20万名之外。

Sucuri公司专家提供了一些缓解措施:如之前所述,这个恶意代码存在于WordPress主题中的function.php文件中。你应该删除add_js_scripts函数以及所有提到add_js_scripts的add_action语句。鉴于这款恶意软件存在按键记录功能,你应该考虑所有WordPress密码遭攻陷这个可能性,因此下一个必须采取的措施就是更改密码(实际上所有网站被黑后都强烈建议这么做),不要忘了再检查下网站是否还遭受其它感染。

本文翻译自bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66