امینت

December 19, 2017
21:27 سه شنبه، 28ام آذرماه 1396
کد خبر: 86607

اسکریپت مخرب ۵۵۰۰ سایت وردپرس را آلوده کرد

حدود ۵۵۰۰ سایت اینترنتی که از سیستم مدیریت محتوا WordPress استفاده می‌کنند، توسط یک اسکریپت مخرب آلوده شده‌اند.
 
حدود 5500 سایت اینترنتی که از سیستم مدیریت محتوا WordPress استفاده می‌کنند، توسط یک Script مخرب آلوده شده‌اند که در اولین بررسیهای صورت گرفته مشخص شده است که این اسکریپت از دامنه cloudflare.solutions بارگزاری می‌شود و اولین اقدام آن، ذخیره کلیدهای تایپ شده در صفحات مهمی همچون صفحه login در WordPress CMS است.
 
این اسکریپت مخرب داده‌ها را برای سرور دامنه فوق ارسال می‌کند و البته کاملا مشخص است که این دامنه هیچ ارتباطی با CDN معروف CloudFlare ندارد.
 
به علت اینکه این اسکریپت هم در frontend و هم در backend سایت قربانی بارگزاری می‌شود، توانایی دزدیدن username و password کاربران مدیر، هنگام login کردن در admin panel را داراست.
 
این اسکریپت هنگامی خطرناک می‌شود که اجازه اجرا در frontend سایت قربانی را داشته باشد زیرا در بسیاری از سایتهای WordPress، تنها جایی که می‌توان اطلاعات کاربر را دزدید بخش کامنت است و همچنین تنظیمات به گونه‌ای در نظر گرفته شده که کاربران می‌توانند کامنتهایی در پایان مطالب درج کرده و آنها را ببینند، توسط این گونه اسکریپتهای مخرب، نفوذگران می‌توانند اطلاعات حساس کاربران عادی را نیز مورد سرقت قرار دهند.
 
در بسیاری از این گونه سایتها، به علت اینکه نفوذگر موفق شده است اسکریپت مخرب خود را در فایلهای اصلی CMS وردپرس همچون functions.php در بخش پوسته‌ها مخفی کند براساس گزارش ماهر امکان صحیح اجرا شدن اسکریپت مخرب بر روی اکثر مرورگرهای قربانیان توسط اجرای دقیق آن در CMS وردپرس ممکن است.
 
کمپانی Sucuri اعلام کرد که این اسکریپت تازگی نداشته و در گذشت هم سه اسکریپت مخرب دیگر که از دامنه cloudflare.solutions بارگزاری شده را شناسایی کرده است.
 
اولین اسکریپت مخرب در ماه April توسط هکرهایی استفاده می‌شد که موفق به نفوذ در سرور سایتهای تبلیغاتی شده بودند و اسکریپت را به صورت مخفیانه در پشت بنرهای تبلیغاتی قرار می‌دادند.
 
در ماه November، مشخص شد که یک گروه دیگر با استفاده از یک تاکتیک جدید، فایلهای جاوا اسکریپتی جعلی شبیه به ساختار Google Analytics را آماده‌سازی کرده بودند که در اصل مربوط به یک ساختار miner در مرورگر، به نام Coinhive بوده است که برای استفاده از منابع سخت‌افزاری سیستم قربانیان، برای ساخت bitcoin مورد استفاده قرار می‌گرفته است که این اسکریپت مخرب بر روی بیش از 1833 سایت مشاهده شده بود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.