您好,登錄后才能下訂單哦!
Wordpress中Keylogger事件的作用是什么,相信很多沒有經(jīng)驗(yàn)的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個(gè)問題。
起因是WordPress被注入了一個(gè)混淆的js腳本。從主題的function.php文件進(jìn)行植入。加載的js腳本地址為:
其中reconnecting-websocket.js用作websocket通信,cors.js中包含后門。Cors.js更改前端頁面,釋放javascript腳本進(jìn)行輸入監(jiān)聽,之后將數(shù)據(jù)發(fā)送給工具者(wss://cloudflare[.]solutions:8085/)。
用戶WordPress首頁底部有兩個(gè)JS,第一個(gè)用來做websocket通信。后門核心文件http://cloudflare[.]solutions/ajax/libs/cors/cors.js。其中cors.js有混淆,簡單處理后得到攻擊腳本:
攻擊腳本會首先調(diào)用linter(),其中有對linterkey1,linterkey2的解碼。
https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中,域名cdnjs.cloudflare.com是不存在的,根據(jù)代碼邏輯,有用的部分應(yīng)為?后的內(nèi)容:
解密出:
邏輯很好理解,監(jiān)聽blur事件(輸入框失去焦點(diǎn)) 通過websocket發(fā)送用戶input內(nèi)容。
最后,窗口加載后執(zhí)行addyandexmetrix()。該函數(shù)是一個(gè)類似cnzz,做訪問統(tǒng)計(jì)的js,具體用法:
https://yandex.com/support/metrica/code/counter-initialize.xml
可以看到,在6月份有一個(gè)峰值。并且在近期,攻擊趨勢陡然上升。以下是今天,截至寫稿時(shí)的請求記錄:
可以看到,今天時(shí),該攻擊已經(jīng)激化。
對頁面進(jìn)行檢索,發(fā)現(xiàn)全球有近五千多站點(diǎn)被感染:
以下受感染的部分域名:
檢查頁面源代碼中是否有向cloudflare[.]solutions的JS請求,通過這種方法進(jìn)行自檢。
惡意的JS是通過WordPress主題的function.php文件進(jìn)行植入。請立即刪除文件中,頁面渲染惡意JS的部分。此時(shí),密碼很有可能已經(jīng)被偷取,請及時(shí)更改密碼。
看完上述內(nèi)容,你們掌握Wordpress中Keylogger事件的作用是什么的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。