Wordpress中Keylogger事件的作用是什么

发布时间:2021-07-22 14:18:00 作者:Leah
来源:亿速云 阅读:136

Wordpress中Keylogger事件的作用是什么,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

0x01 事件描述


起因是WordPress被注入了一个混淆的js脚本。从主题的function.php文件进行植入。加载的js脚本地址为:


Wordpress中Keylogger事件的作用是什么

其中reconnecting-websocket.js用作websocket通信,cors.js中包含后门。Cors.js更改前端页面,释放javascript脚本进行输入监听,之后将数据发送给工具者(wss://cloudflare[.]solutions:8085/)。

Wordpress中Keylogger事件的作用是什么

Wordpress中Keylogger事件的作用是什么

           

 

0x02攻击脚本分析


Wordpress中Keylogger事件的作用是什么

用户WordPress首页底部有两个JS,第一个用来做websocket通信。后门核心文件http://cloudflare[.]solutions/ajax/libs/cors/cors.js。其中cors.js有混淆,简单处理后得到攻击脚本:

Wordpress中Keylogger事件的作用是什么

攻击脚本会首先调用linter(),其中有对linterkey1,linterkey2的解码。

https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中,域名cdnjs.cloudflare.com是不存在的,根据代码逻辑,有用的部分应为?后的内容:

Wordpress中Keylogger事件的作用是什么

解密出:

Wordpress中Keylogger事件的作用是什么

Wordpress中Keylogger事件的作用是什么

逻辑很好理解,监听blur事件(输入框失去焦点) 通过websocket发送用户input内容。

Wordpress中Keylogger事件的作用是什么

最后,窗口加载后执行addyandexmetrix()。该函数是一个类似cnzz,做访问统计的js,具体用法:

https://yandex.com/support/metrica/code/counter-initialize.xml


 

0x03 攻击影响


 

查看cloudflare[.]solutionsDNS请求记录:

Wordpress中Keylogger事件的作用是什么

可以看到,在6月份有一个峰值。并且在近期,攻击趋势陡然上升。以下是今天,截至写稿时的请求记录:


Wordpress中Keylogger事件的作用是什么

可以看到,今天时,该攻击已经激化。

对页面进行检索,发现全球有近五千多站点被感染:

Wordpress中Keylogger事件的作用是什么

以下受感染的部分域名:


Wordpress中Keylogger事件的作用是什么

 

0x04 缓解措施


检查页面源代码中是否有向cloudflare[.]solutions的JS请求,通过这种方法进行自检。

Wordpress中Keylogger事件的作用是什么

恶意的JS是通过WordPress主题的function.php文件进行植入。请立即删除文件中,页面渲染恶意JS的部分。此时,密码很有可能已经被偷取,请及时更改密码。


看完上述内容,你们掌握Wordpress中Keylogger事件的作用是什么的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

推荐阅读:
  1. wordpress的作用有哪些
  2. WordPress是什么

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

wordpress keylogger

上一篇:vue中input输入框如何实现模糊查询

下一篇:JavaScript中怎么模拟点击事件

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》