Wordpress中键盘记录器事件的作用是什么,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
<节> <节><强> 0 x01事件描述
<人力资源/>起因是Wordpress被注入了一个混淆的js脚本。从主题的功能。php文件进行植入。加载的js脚本地址为:
其中reconnecting-websocket.js用作websocket通信,cors.js中包含后门.Cors.js更改前端页面,释放javascript脚本进行输入监听,之后将数据发送给工具者(wss://cloudflare [。解决方案:8085/)。
,,,,,,
<强> 0 x02攻击脚本分析
<人力资源/> 
用户Wordpress首页底部有两个JS,第一个用来做websocket通信。后门核心文件http://cloudflare[]解决方案/ajax/libs/歌珥/cors.js。其中歌珥。js有混淆,简单处理后得到攻击脚本:
攻击脚本会首先调用短绒(),其中有对linterkey1, linterkey2的解码。
https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js?657[.............................]中,域名cdnjs.cloudflare.com是不存在的,根据代码逻辑,有用的部分应为?后的内容:
解密出:
逻辑很好理解,监听模糊事件(输入框失去焦点)通过websocket发送用户输入内容。
最后,窗口加载后执行addyandexmetrix()。该函数是一个类似cnzz,做访问统计的js,具体用法:https://yandex.com/support/metrica/code/counter-initialize.xml
<强> 0 x03攻击影响
<人力资源/>,查看cloudflare (。]solutionsDNS请求记录:
可以看的到,在6月份有一个峰值。并且在近期,攻击趋势陡然上升。以下是今天,截至写稿时的请求记录:
可以看的到,今天时,该攻击已经激化。
对页面进行检索,发现全球有近五千多站点被感染:
以下受感染的部分域名:
<强> 0 x04缓解措施
<人力资源/>检查页面源代码中是否有向cloudflare (。)解决方案的JS请求,通过这种方法进行自检。
恶意的JS是通过Wordpress主题的功能。php文件进行植入。请立即删除文件中,页面渲染恶意JS的部分。此时,密码很有可能已经被偷取,请及时更改密码。
看完上述内容,你们掌握Wordpress中键盘记录器事件的作用是什么的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!
