少なくとも 2,000 WordPress Webサイトは、暗号通貨マイナーおよびキーストロークロガーのように機能するように設計されたマルウェアによって侵害されています. このマルウェアはCloudfareの名前を利用しており、数か月前にSucuriの研究者によって発見されました。.
キャンペーンで再び検出された「cloudflare.solutions」マルウェア
数ヶ月前、Sucuriチームはいわゆる「cloudflare.solutions」マルウェアからの2つのインジェクションに遭遇しました: 偽のGoogleAnalyticsとjQuery内に隠されたCoinHiveクリプトマイナー, とCloudflareのWordPressキーロガー[.]ソリューション. マルウェアは4月に特定されました 2017. その進化したバージョンが新しいドメインに広がりました, the リサーチ 明らかに.
これがこれまでに起こったことです:
キーロガーの投稿が12月8日にリリースされてから数日後, 2017, Cloudflare[.]ソリューションドメインが削除されました. これはマルウェアキャンペーンの終わりではありませんでした, でも; 攻撃者はすぐにcdjsを含む多くの新しいドメインを登録しました[.]12月8日にオンライン, cdns[.]12月9日のws, およびmsdns[.]12月16日にオンライン.
研究者によると, これらのマルウェアキャンペーンの背後にいるハッカーは、ほぼ侵害に成功したハッカーと同じです。 5,500 WordPressのウェブサイト. どちらのキャンペーンも、最初に説明したものと同じマルウェアを使用しています – いわゆる 「cloudflare.solutions」マルウェア. でも, キーロガーがマルウェア機能に最近追加され、管理者の資格情報が危険にさらされています–マルウェアは、管理者のログインページとWebサイトの公開フロントエンドを収集する可能性があります.
研究者は、過去1か月の攻撃で使用されたいくつかの注入されたスクリプトを特定することができました:
hxxps://cdjs[.]online / lib.js
hxxps://cdjs[.]online / lib.js?ver=…
hxxps://cdns[.]ws / lib / googleanalytics.js?ver=…
hxxps://msdns[.]online / lib / mnngldr.js?ver=…
hxxps://msdns[.]online / lib / klldr.js
The cdjs[.]オンラインスクリプト WordPressデータベースのいずれかに注入されます (wp_postsテーブル) またはテーマに Functions.phpファイル, 前と同じように cloudflare[.]ソリューション攻撃, レポートによると.
前のキャンペーンと同様, 偽のgogleanalytics.js 難読化されたスクリプトの読み込みも発見されました.
の採掘部分は 「cloudflare.solutions」マルウェア, 研究者は、ライブラリjquery-3.2.1.min.jsが以前のバージョンの暗号化されたCoinHive暗号化ライブラリに類似していることを発見しました, からロードされました hxxp:// 3117488091/lib / jquery-3.2.1.min.js?v = 3.2.11.
感染したウェブサイトをきれいにする方法
これらの新しい攻撃は最初の攻撃ほど広範囲ではありませんが Cloudflare[.]ソリューションキャンペーン, マルウェアが再びWordPressに感染しているという事実は、Webサイトを適切に保護できていない管理者がまだいることを意味します. 研究者は、再感染したWebサイトの一部が元の感染にさえ気づかなかったとさえ信じています.
ついに, あなたのウェブサイトが Cloudflare[.]ソリューションマルウェア, これはあなたがする必要があることです: テーマのfunctions.phpから悪意のあるコードを削除します, 可能な注入についてwp_postsテーブルをスキャンします, すべてのWordPressパスワードを変更し、, 最後に, サードパーティのテーマとプラグインを含むすべてのサーバーソフトウェアを更新します.