Mindannyian nagyon jól tudjuk, hogy napjainkban az egyre növekvő biztonsági fenyegetések általános jelenségekké váltak. Mint azt már láttuk, hogy az év közepén nagyon sok olyan WordPress-webhelyet találtak, amelyekben rosszindulatú programok voltak, amelyek képesek a kriptopénzek kitermelésére. A legfrissebb jelentések szerint több mint 5000 WordPress-webhelyet sújtottak a Keyloggerrel.
A kiegészítők mindig is problémát jelentettek a CMS használatával kezelt webhelyek számára. Az év közepén nagyon sok WordPress-webhelyet találtak, amelyekben rosszindulatú programok voltak, amelyek képesek a kriptovaluták bányászatára. Úgy tűnik, hogy minden rámutat arra, hogy ez a számítógépes vírus mutálódott, és mára kulcsfontosságúvá vált, amely képes összegyűjteni a fertőzött webhelyek látogatói által bevezetett információkat.
Ennek a fenyegetésnek a megtalálásához tavaly áprilisig kell visszatérnünk, amikor a Sucuri biztonsági cég tagjai több mint 5500 webhelyet fedeztek fel, amelyek használta ezt a CMS-t fertőzött rosszindulatú programmal, amely képes volt a kriptovaluták bányászatának elvégzésére, ami egyre inkább divatos. Azóta számos változás történt, amelyeket a fenyegetés elszenvedett, különösen a viselkedés szintjén.
Eleinte a WordPress functions.php fájlt használta arra, hogy hamis Cloudflare-címmel kéréseket tegyen egy WebSocket létrehozására egy könyvtár segítségével.
Amikor a biztonsági szakértők először elemezték a fenyegetést, a hamis Cloudflare tartomány elérésénél megjelenő üzenet „Ez a kiszolgáló a Cloudflare terjesztési hálózat része” volt. Ez az üzenet azonban megváltozott, és most olvashatja: „Ez a szerver egy kísérleti tudományos gépi tanulási algoritmus-projekt része”.
Április óta a dolgok megváltoztak. A kriptovaluták bányászata eltűnt (vagy legalábbis egyelőre). Ennek a kártevőnek a működése a Keylogger formájává változott. Az internetes szöveg beírásához szükséges összes szóköz módosult. Hozzáadtak egy kezelőt, amely a bevitt információkat elküldi a wss: // cloudflare [.] Solutions: 8085 / címre. Ez a billentyűnapló képes hitelesítő adatokat ellopni, hogy hozzáférhessen a webszolgáltatások felhasználói profiljaihoz, például magához a WordPress-hez, és nemcsak hogy a CMS kezelése is sérül.
Tekintettel arra, hogy sok szolgáltatás kapcsolódik egymáshoz, nagyon valószínű, hogy a felhasználó egy bizonyos ponton olyan platformokon adta meg a fiók hitelesítő adatait, mint a Twitter vagy a Facebook. Ebben az esetben sürgősen meg kell változtatni a jelszót. Ellenkező esetben a fiókok felhasználhatók lennének a felhasználó beleegyezése nélkül.
Biztonsági szakértők azt is megállapították, hogy bevezetik a CoinHive szkriptet az érmék bányászatának elvégzésére. Úgy tűnik azonban, hogy jelenleg nem használják.
Nyilván van megoldás, bár nem triviális. Azoknak a felhasználóknak, akiknek érintett webhelyük van, meg kell keresniük a function.php fájlban az add_js_scripts függvényt, és végre kell hajtaniuk annak törlését. Ezt követően meg kell keresniük az összes mondatot, amelyben a törölt függvény szerepel, és folytatni kell annak törlését. Ellenkező esetben a CMS elemek betöltése nem lesz megfelelő.
Miután ez a folyamat befejeződött, tanácsos megváltoztatni az összes hozzáférési hitelesítő adatot.
Szóval, mit gondol erről a biztonsági hibáról? Egyszerűen ossza meg véleményét és gondolatait az alábbi megjegyzés részben.