أكثر من 2000 موقع ووردبريس مصاب مع كلوغر

لقطة شاشة تعرض كلوغر استخراج أسماء المستخدمين وكلمات المرور. إنها تصيب حاليًا أكثر من 2000 موقع ويب WordPress.تكبير / لقطة شاشة توضح كلوغر استخراج أسماء المستخدمين وكلمات المرور. انها تصيب حاليا أكثر من 2000 وورد webالمواقع. Sucuri

أكثر من 2000 موقع ويب مفتوح المصدر وورد يصاب نظام إدارة المحتوى بالبرامج الضارة والباحثين حذر في نهاية الأسبوع الماضي. البرمجيات الخبيثة في السؤال سجلات كلمات المرور و فقط عن أي شيء آخر مسؤول أو أنواع الزوار.

برنامج keylogger هو جزء من حزمة ضارة يتم تثبيتها أيضًا عامل منجم للتشفير في المتصفح يتم تشغيله بشكل خفي أجهزة الكمبيوتر للأشخاص الذين يزورون المواقع المصابة. البيانات المقدمة هنا ، هنا ، وهنا عن طريق خدمة البحث عن موقع أظهر PublicWWW ذلك ، اعتبارًا من عصر الاثنين ، كانت الحزمة تعمل على 2،092 sites.

وقالت شركة أمن الموقع سوكوري هذا هو نفسه الخبيثة رمز وجد أنه يعمل على ما يقرب من 5500 موقع وورد في ديسمبر. تم تنظيف تلك الالتهابات بعد حلول cloudflare [.] تم استخدام الموقع المستخدم لاستضافة البرامج النصية الضارة. الجديد يتم استضافة الإصابات على ثلاثة مواقع جديدة ، msdns [.] عبر الإنترنت ، cdns [.] ws و cdjs [.] عبر الإنترنت. أي من المواقع التي تستضيف الكود له أي علاقة بـ Cloudflare أو أي شركة شرعية أخرى.

“لسوء الحظ للمستخدمين المطمئنين وأصحاب المصاب مواقع الويب ، يتصرف كلوغر بنفس الطريقة السابقة حملات “، كتب الباحث سوكوري دينيس سينجوبكو في بلوق وظيفة. “يرسل البرنامج النصي البيانات المدخلة على كل نموذج موقع (بما في ذلك نموذج تسجيل الدخول) للمتسللين عبر بروتوكول WebSocket. ”

الهجوم يعمل عن طريق حقن مجموعة متنوعة من النصوص في مواقع ووردبريس. البرامج النصية التي تم حقنها في الشهر الماضي تتضمن:

  • hxxps: [.] // cdjs الانترنت / lib.js
  • hxxps: [.]؟ // cdjs الانترنت / lib.js النسخة = …
  • hxxps: [.]؟ // شبكات تقديم المحتوى WS / ليب / googleanalytics.js النسخة = …
  • hxxps: [.]؟ // msdns الانترنت / ليب / mnngldr.js النسخة = …
  • hxxps: // msdns الانترنت / ليب / klldr.js [.]

    يقوم المهاجمون بحقن cdjs [.] عبر الإنترنت في أي موقع قاعدة بيانات WordPress (جدول wp_posts) أو في النسق jobs.php الملف ، كما كان الحال في هجوم ديسمبر ذلك يستخدم موقع حلول cloudflare [.]. كما وجدت Sinegubko cdns [.] ws و msdns [.] البرامج النصية عبر الإنترنت التي تم حقنها في السمة وظائف. إلى جانب ضربات المفاتيح تسجيل الدخول إلى أي إدخال الحقل ، تقوم البرامج النصية بتحميل كود آخر يؤدي إلى تشغيل زوار الموقع جافا سكريبت من Coinhive يستخدم أجهزة الكمبيوتر للزوار لإزالة الألغام cryptocurrency مونيرو مع عدم وجود تحذير.

    لا يوضح منشور Sucuri بوضوح كيفية الحصول على المواقع إصابة. على الأرجح ، يستغل المهاجمون الأمن نقاط الضعف الناتجة عن استخدام البرامج القديمة.

    “في حين أن هذه الهجمات الجديدة لا يبدو أنها ضخمة مثل حملة حلول Cloudflare [.] الأصلية ، ومعدل الإصابة مرة أخرى يدل على أنه لا يزال هناك العديد من المواقع التي فشلت في بشكل صحيح حماية أنفسهم بعد الإصابة الأصلية ، “كتب سينجوبكو. “من المحتمل أن بعض هذه المواقع لم تلاحظ حتى العدوى الأصلية. ”

    يجب أن يتبع الأشخاص الذين يرغبون في تنظيف المواقع المصابة هذه خطوات. من المهم أن يغير المشغلون كل الموقع كلمات المرور منذ البرامج النصية تتيح للمهاجمين الوصول إلى جميع القديمة منها.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: