2000多家基於WordPress的網站被黑客掛上了惡意軟體

credit:123RF

網路安全人員上周晚些時候警告說，有超過2000個運行開源WordPress管理系統框架的網站感染了惡意軟體。居心叵測的木馬會記錄管理員和訪問者的密碼以及鍵盤輸入的所有數據信息。

當用戶訪問受感染站點的時候，瀏覽器會自動下載一個軟體包，鍵盤記錄器是惡意軟體包的一部分，該軟體包還會為瀏覽器添加加密貨幣礦工插件，用戶的個人電腦上會被分配出一定的運算資源，悄悄地運行插件來解算加密貨幣。

PublicWWW提供的數據顯示，截至周一下午，有2092家網站被黑客掛上了這個木馬軟體包。

網路安全公司Sucuri表示，它與12月份被發現的惡意代碼相同，當時有近5500個WordPress站點被注入了這種木馬。當關停了名叫cloudflare.solution的網站以後(該網址被用於託管惡意腳本代碼)，這些惡意軟體被徹底清除。新的惡意腳本被託管在另外三家網站上：msdns.online，cdns.ws和cdjs.online。託管代碼的網站與Cloudflare或任何其他合法的公司都沒有聯繫。

Sucuri的研究員Denis Sinegubko在一篇博客文章中寫道：「不幸的是，對於不知情的用戶和受感染網站的所有者，鍵盤記錄器的行為與之前的代碼功能相同。腳本通過WebSocket協議將每個網站表單(包括登錄表單)輸入的數據發送給黑客。」

攻擊是通過向WordPress網站注入各種腳本來實現的。上個月注入的腳本包括：

hxxps://cdjs.online/lib.js
hxxps://cdjs.online/lib.js?ver=…
hxxps://cdns.ws/lib/googleanalytics.js?ver=…
hxxps://msdns.online/lib/mnngldr.js?ver=…
hxxps://msdns.online/lib/klldr.js

攻擊者將cdjs.online的腳本注入到網站的WordPress資料庫(wp_posts表)或主題文件夾下面的functions.php中，就像去年12月時站點遭受到的攻擊攻擊一樣。

Sinegubko還發現了可以注入到主題文件夾中functions.php的另兩種腳本，cdns.ws和msdns.online。除了把通過鍵盤輸入的欄位保存到日誌之外，腳本還會載入其他代碼，導致訪問站點的用戶的計算機從Coinhive上載入運行一段JavaScript程序，在沒有警告的情況下，開採加密貨幣Monero。

Sucuri的帖子並沒有明確地說明，網站是如何被感染的。攻擊者極有可能利用了未及時更新的軟體所存在的安全漏洞。

Sinegubko寫道：「雖然新一輪的攻擊似乎還沒有形成原來的規模，但網站的二次感染率顯示仍然有許多網站並未從中吸取教訓，有些網站甚至可能都沒有意識到上一次被人注入了木馬。」

想要清理感染的維護人員應按照以下步驟操作。首要的是，網站運營商應及早更改所有的密碼，因為腳本讓攻擊者可以獲取所有管理員的舊密碼。

本文譯自 arstechnica，由譯者 majer 基於創作共用協議(BY-NC)發布。

原文作者DAN GOODIN，Ars Technica的安全編輯，為美聯社，彭博新聞和其他出版機構撰寫相關文章。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！