云盾高防采集_ddos防_3天试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 云盾高防采集_ddos防_3天试用

云盾高防采集_ddos防_3天试用

小墨安全管家 2022-06-22 21:30 CC防火墙 89 ℃
DDoS防御

键盘记录程序传播到新域。

我们已确定此新攻击正在利用以下三台服务器:

加载其他三个足本hxxps://cdns[.]ws/lib/jquery-3.2.1.min.js?v=1.013hxxps://cdns[.]ws/lib/kl.jshxxps://cdns[.]ws/lib/mnrstrtr.js

此足本使用NPRAK9QU4LFBSNEFT23QEECH5R0SZEV站点密钥创建CoinHive miner的实例,该密钥与旧版本恶意软件中的密钥相同。

它解码为以下代码,显示一具名为startGoogleAnalytics:

键盘记录器加载此代码:

结论

不幸的是,关于毫无戒心的用户和受感染网站的所有者来讲,键盘记录程序的行为方式与往常的活动中相同。该足本经过WebSocket协议将每个网站表单(包括登录表单)上输入的数据发送给黑客。您能够在上一篇文章中了解键盘记录器的工作原理。

cdjs[.]在线足本被注入WordPress数据库(wp_posts table)或主题的functions.php文件,就像我们在之前的cloudflare[.]solutions攻击中看到的一样。

在那个新设置中,然而,默认事情下会使用CoinHive配置;假如与CoinHive服务器的连接失败,攻击者将cdjs[.]联机配置与sitekey lZnIoM7JAc6g0xBbWpUsVKSuLPBehT4s一起用作回退。

与往常版本中包含"add_js_scripts"钩子函数以将足本排队不同,这种攻击使用的函数和钩子名称表明了它们的用途。例如,chmnr_klgr-js最有大概翻译为"miner_键盘记录器"。

云盾高防采集_ddos防_3天试用

在下面的屏幕截图中,您能够看到解码后的Javascript文件与之前的活动很相似:

唯一的变化是socketURL地址,如今解码为"wss://cdjs[.]在线:8085/"(代替wss://cloudflare[.]解决方案:8085)linterkeys变量的红鲱鱼部分从"https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js"更加中立"https://js.io/query"

有味的是,DDoS高防,该足本扩展了CoinHive库,并使用185.209.23.219服务器(如今非常是cdjs[.]online)为LIB_URL和WEBSOCKET_碎片添加了一具替代配置。

PublicWWW已识别出相对较少的受感染网站:129个在线注册的cdns[.]ws网站和103个在线注册的cdjs[.]ws网站,但特别大概大多数网站还没有被编入索引。自12月中旬以来,msdns[.]online基本感染了上千个网站,虽然大多数是已被破坏的网站的再感染。

几个月前,我们报道了与"cloudflare.solutions"恶意软件相关的两次注入:躲藏在虚假Google Analytics和jQuery中的CoinHive cryptominer,以及cloudflare[.]solutions的WordPress键盘记录器。此恶意软件最初于2017年4月由我们的一名分析师识别,并已演变并传播到新域。

在我们的键盘记录程序帖子于2017年12月8日公布后的几天,Cloudflare[.]解决方案域被取下。可是,这并不是恶意软件活动的结束;攻击者即将注册了大量新域名,包括12月8日在线注册的cdjs[.]ws、12月9日在线注册的cdns[.]ws和12月16日在线注册的msdns[.]online。

伪jQuery中的Cryptominer

hxxps://cdjs[.]在线/lib.jshxxps://cdjs[.]online/lib.js?ver=…hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…hxxps://msdns[.]online/lib/mnngldr.js?ver=…hxxps://msdns[.]online/lib/klldr.js

三个恶意IP

假GoogleAnalytics足本的演变

键盘记录程序

要清理受感染的网站,您需要从theme的functions.php中删除恶意代码,扫描wp_posts表以寻找大概的注入,更改所有WordPress密码(!)更新所有服务器软件,包括第三方主题和插件。

我们基本确定,库jQuery-3.2.1.min.js类似于先前版本中加密的CoinHive cryptomining库,防DDoS,从hxxp://3117488091/lib/jquery-3.2.1.min.js加载?v=3.2.11(或hxxp://185 .209.23.219/lib/jquery-3.2.1.min.js?v=3.2.11,更熟悉的IP地址表示形式)。这并不奇怪,因为服务器185.209.23.219上也存在cdjs[.]online。

Msdns[.]在线注入

你能够在那个地点找到对于怎么清理WordPress网站的更详细指南。作为额外的爱护,我们建议您思量使用网站防火墙。

为了初始化miner,恶意软件使用mnrstrtrtr.js(应翻译为"miner starter")从恶意startGoogleAnalytics函数加载:

我想重点介绍新的恶意域名Msdns[.]在线,其行为略有不同。与其他两个域的足本不同,它服务于cryptominer或cryptominer(hxxps://msdns[.]online/lib/mnngldr.js?ver=…仍然冒充谷歌分析和jQuery)或键盘记录器(hxxps://msdns[.]online/lib/klldr.js)。

就像之前版本的活动一样,我们识别了一具假GoogleAnalytics.js,它加载了一具含糊的足本。

CDN[.]ws和MSDN[.]在线足本也能够被注入到theme的functions.php文件中:

的函数。此startGoogleAnalytics足本从CDN[.]ws:

旁注:在cdjs[.]online的libs.js中,加载了几乎相同的足本,然而,它不包含任何含糊处理。

此代码接着加载hxxps://msdns[.]在线/lib/kl.js足本。由于msdns[.]online与cdns[.]ws位于同一服务器上,所以此kl.js与我们在上一节中描述的WordPress键盘记录器相同–这有助于我们将klldr.js文件名转换为"键盘记录器加载程序"。

在过去一具月中,有多种注入足本被用于此攻击:

/lib/kl.js足本是熟悉的键盘记录程序(所感觉kl.js名称)正如我们去年在cloudflare[.]solutions恶意软件中看到的一样。

攻击中使用的注入足本


DDoS防御

当前位置:主页 > CC防火墙 > 云盾高防采集_ddos防_3天试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119