Wordpress中Keylogger事件的作用是什么

0x01 事件描述

起因是WordPress被注入了一個(gè)混淆的js腳本。從主題的function.php文件進(jìn)行植入。加載的js腳本地址為：

其中reconnecting-websocket.js用作websocket通信，cors.js中包含后門。Cors.js更改前端頁面，釋放javascript腳本進(jìn)行輸入監(jiān)聽，之后將數(shù)據(jù)發(fā)送給工具者（wss://cloudflare[.]solutions:8085/）。

0x02攻擊腳本分析

用戶WordPress首頁底部有兩個(gè)JS，第一個(gè)用來做websocket通信。后門核心文件http://cloudflare[.]solutions/ajax/libs/cors/cors.js。其中cors.js有混淆，簡單處理后得到攻擊腳本：

攻擊腳本會首先調(diào)用linter()，其中有對linterkey1，linterkey2的解碼。

https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中，域名cdnjs.cloudflare.com是不存在的，根據(jù)代碼邏輯，有用的部分應(yīng)為？后的內(nèi)容：

解密出：

邏輯很好理解，監(jiān)聽blur事件(輸入框失去焦點(diǎn)) 通過websocket發(fā)送用戶input內(nèi)容。

最后，窗口加載后執(zhí)行addyandexmetrix()。該函數(shù)是一個(gè)類似cnzz，做訪問統(tǒng)計(jì)的js，具體用法：

https://yandex.com/support/metrica/code/counter-initialize.xml

0x03 攻擊影響

查看cloudflare[.]solutionsDNS請求記錄：

可以看到，在6月份有一個(gè)峰值。并且在近期，攻擊趨勢陡然上升。以下是今天，截至寫稿時(shí)的請求記錄：

可以看到，今天時(shí)，該攻擊已經(jīng)激化。

對頁面進(jìn)行檢索，發(fā)現(xiàn)全球有近五千多站點(diǎn)被感染：

以下受感染的部分域名：

0x04 緩解措施

檢查頁面源代碼中是否有向cloudflare[.]solutions的JS請求，通過這種方法進(jìn)行自檢。

惡意的JS是通過WordPress主題的function.php文件進(jìn)行植入。請立即刪除文件中，頁面渲染惡意JS的部分。此時(shí)，密碼很有可能已經(jīng)被偷取，請及時(shí)更改密碼。