5500個 WordPress站點感染Keylogger，可竊取用戶名密碼和信用卡數據

該惡意腳本來源於域名cloudflare.solutions，但是該站點與Cloudflare並沒有隸屬關係，該腳本可以記錄用戶input field的任何輸入。而且，該腳本在站點的前端和後端都會載入，這就意味著可以當登錄到站點的管理面板時，可以記錄用戶名和密碼。

當腳本在前端運行時，也是很危險的。在大多數的wordpress站點，該腳本只能竊取comment域的用戶數據。因為一些wordpress站點被配置成在線商店了，所以攻擊者可以記錄信用卡數據和個人的其他隱私信息。

當wordpress站點出現這樣的情況時，說明該站點被黑了。攻擊者利用各種方式將惡意腳本隱藏在functions.php文件中，因為該文件是wordpress主題中的標準文件，不會引起懷疑。

攻擊從4月發起

這並不是一種新型的攻擊，Sucuri追蹤發現cloudflare.solutions域名上至少有3種不同的惡意腳本。第一個是4月份，攻擊者利用惡意的JS文件在被黑的網站上嵌入廣告。

11月的時候，攻擊者就改變了攻擊的策略，將惡意腳本偽裝成假的jQuery和Google Analytics JS文件，這實際上是Coinhive瀏覽器內的加密貨幣挖礦機。截止11月22日，已經有1833個站點被黑。

檢測到的最近的一次攻擊是，黑客除了保留加密貨幣挖礦機腳本外，還添加了keylogger組件。

根據PublicWWW的數據分析，惡意腳本至少存在於5496個站點中。

專家建議

因為惡意代碼存在於wordpress主題的function.php文件中，所以移除add_js_scripts函數和與add_js_scripts相關的所有語句。

另外，因為惡意軟體有keylogger的功能，所以需要考慮wordpress站點密碼泄露的問題，下一步應該修改wordpress的登錄密碼。y

本文翻譯自：https://www.bleepingcomputer.com/news/security/keylogger-found-on-nearly-5-500-infected-wordpress-sites/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9118.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：