Sucuri的研究人员最近发现了超过2000个WordPress站点又被黑客攻击,用来挖掘门罗币。
根据分析,这次黑客是用键盘记录器的办法来实施的攻击,这与2017年12月初发生的5500个WordPress站点被窃取用户名密码和信用卡数据的技术非常类似。攻击过程很简单,攻击者首先要找到不安全的WordPress网站,这些网站通常是运行较老的WordPress版本或较旧的主题和插件,然后黑客利用这些网站的漏洞将恶意代码注入到CMS的源代码中。
在管理员登录的页面,恶意代码会加载托管在第三方域的键盘记录器,运行键盘记录器后,受影响网站的网页表单上的任何信息都将被偷偷地发送给攻击者,从而窃取用户的登录凭证。如果攻击者得到了网站管理员的凭据,那他们就可以不依靠漏洞就能进入该网站。然后攻击者就会通过运行这些网站,大量占用用户的CPU来挖矿。
攻击从2017年4月就现端倪了
Sucuri追踪发现这并不是一种新型的攻击,cloudflare.solutions这个恶意软件自2017年4月被发现以来,就一直很活跃,且技术不断迭代。目前cloudflare.solutions域名上至少有3种不同的恶意脚本,最早的一个是2017年4月份出现的,攻击者利用恶意的JS文件在被黑的网站上嵌入广告。
2017年11月的时候,攻击者就改变了攻击的策略,将恶意脚本伪装成假的jQuery和Google Analytics JS文件,这实际上是Coinhive浏览器内的加密货币挖矿机。截止去年黑客除了保留加密货币挖矿机脚本外,还添加了keylogger组件。
根据PublicWWW的2017年的数据分析,恶意脚本至少存在于5496个站点中。
在2017年12月8日,安全研究人员曾发布过关于这款键盘记录器恶意软件的文章,几天后,存放恶意脚本的域名被下线。然而,这不是恶意软件战斗的终点,攻击者立即又注册了多个域名,包括:在12月8日注册了cdjs[.]online,在12月9日注册了cdns[.]ws,12 月16日注册了msdns[.]online。根据PublicWWW的数据分析,有超过2000个站点正在从这三个域加载脚本。
源码搜索引擎PublicWWW已经确定了一些受感染的网站:受cdns[.]ws感染的有129个,受cdjs[.]online感染的有103个,但是大部分网站可能还没有被索引。自2017年12月中旬以来,msdns[.]online已经感染了上千个网站,但大多数都是来自已经被入侵的网站的再感染。
在攻击中使用的注入脚本
在过去的一个月里,这种攻击使用了多种注入脚本:
hxxps://cdjs[.]online/lib.js
hxxps://cdjs[.]online/lib.js?ver=…
hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
hxxps://msdns[.]online/lib/mnngldr.js?ver=…
hxxps://msdns[.]online/lib/klldr.js
cdjs[.]online脚本不仅被注入到WordPress数据库中(wp_posts表),还被注入到主题的functions.php文件中,因为该文件是wordpress主题中的标准文件,不会引起怀疑。
Sucuri的研究人员还担心,并不是所有受影响的网站都被收录在PublicWWW中,实际受害者的数量可能会更大。
三个恶意的IP地址
已经确定这个新的攻击是利用以下3个服务器:
185.209.23.219(cdjs[.]online或3117488091,在这里仍然可以找到keylogger的cloudflare[.]solutions版本)
185.14.28.10(或3104709642,仍然保留hxxp//185.14.28.10/lib/jquery-3.2.1.min.js?v=3.2.11的cryptominer和cloudflare[.]solutions版本的键盘记录器hxxp//185.14.28.10/lib/kl.js)
107.181.161.159(cdns [.] ws和msdns [.]online,它提供了新版本的挖矿器和键盘记录器)
缓解措施
虽然本次的攻击不及去年12月份的那次攻击规模,但再感染率表明仍然有许多网站即使在攻击后还没有做好保护措施,有些网站可能都没有注意到之前的感染。
所以,你需要从主题的functions.php中删除恶意代码,扫描wp_posts表以发现可能的注入,修改所有WordPress密码,并更新所有服务器软件,包括第三方的主题和插件。
领取专属 10元无门槛券
私享最新 技术干货