近2000个WordPress网站感染了键盘记录器

Sucuri的安全研究人员发现了一个恶意活动，该活动用一个恶意脚本感染WordPress网站，该脚本从中发送浏览器内加密货币矿工共巢还有一个键盘记录器。

Coinhive是一种流行的基于浏览器的服务，它让网站所有者嵌入JavaScript，以利用网站访问者的CPU能力来挖掘Monero加密货币。

Sucuri的研究人员表示，这一新活动背后的威胁参与者是上个月感染5400多个Wordpress网站的人，因为这两个活动都使用了名为cloudflare的键盘记录器/加密货币恶意软件解决。

去年4月发现的Cloudflare[.]解决方案是加密货币挖掘恶意软件，与网络管理和网络安全公司Cloudflare完全无关。因为恶意软件使用了cloudflare[。]解决方案域最初传播的恶意软件，它被赋予了这个名字。

该恶意软件于11月更新，包括一个键盘记录器。键盘记录器的行为方式与之前的活动相同，可以窃取网站的管理员登录页面和面向公众的前端。

如果被感染的WordPress网站是一个电子商务平台，黑客可以窃取更多有价值的数据，包括支付卡数据。如果黑客成功窃取了管理员凭据，他们可以直接登录该网站，而不依赖漏洞入侵该网站。

云耀斑solutions domain上个月被取缔，但该活动背后的犯罪分子注册了新的域名，以托管他们的恶意脚本，这些脚本最终被加载到WordPress网站上。

黑客注册的新域名包括cdjs[.]在线（12月8日注册），CDN[.]ws（12月9日）和msdns[.]在线（12月16日）。

就像之前的cloudflare[。]解决方案活动，cdjs[.]在线脚本被注入WordPress数据库或主题函数中。php文件。CDN[.]ws和MSDN[.]在线脚本也被注入到主题的功能中。php文件。

CDN受感染的站点数[.]ws-domain包括约129个网站和103个cdjs网站[.]根据源代码搜索引擎PublicWWW的数据，尽管有超过1000个网站被MSDN感染在线域名。

研究人员表示，大多数网站可能还没有被编入索引。

“虽然这些新的攻击似乎还没有最初的Cloudflare[.]那么大规模在solutions campaign中，再感染率表明，在最初的感染后，仍有许多网站未能妥善保护自己。有可能这些网站中的一些甚至没有注意到最初的感染，”Sucuri研究人员得出结论。

如果你的网站已经被感染，你需要从主题的功能中删除恶意代码。php和扫描wp_posts表以查找任何可能的注入。

为了安全起见，建议用户更改所有WordPress密码，更新所有服务器软件，包括第三方主题和插件。