Badacze z Sucuri, firmy zajmującej się bezpieczeństwem Internetu, kilka miesięcy temu odkryli dwie infekcje powiązane z cloudflare.solutions. Teraz firma donosi, że to malware oraz rodzaj ataku ponownie się ujawniają.
Złośliwe oprogramowanie stanowi szczególne zagrożenie dla stron z WordPressem oraz usługą sklepu internetowego, ponieważ potrafi wykradać dane dotyczące płatności. „Jeśli haker wykradnie dane logowania admina, może zalogować się na stronę nawet bez konieczności polegania na podatności” – napisał portal The Hacker News.
Chociaż nowa fala ataku nie jest tak szeroka jak poprzednia, to jednak powrót tego malware dowodzi, że nie wszyscy administratorzy należycie zabezpieczyli swoje strony po pierwszym ataku. Bardzo możliwe, że większość adminów WordPressa nawet nie wie o tym problemie.
Według The Hacker News „ponad 2 tysiące witryn z WordPressem padło ofiarą złośliwego oprogramowania kopiącego kryptowaluty, które kradnie zasoby obliczeniowe komputerów odwiedzających, ale przede wszystkim loguje każde wciśnięcie klawisza na ich klawiaturach”.
„Aby posprzątać po tej infekcji, trzeba będzie usunąć złośliwy kod z pliku tematu, functions.php, przejrzeć tabelę wp_posts w poszukiwaniu wstrzyknięć, pozmieniać wszystkie (!) hasła WordPressa oraz zaktualizować całe oprogramowanie, w tym zewnętrzne tematy i pluginy” – przestrzegło Sucuri na swoim blogu.
Adminom WordPressa przyda się wtyczka Sucuri dostarczająca wskazówek, jak oczyścić naszą stronę z zainfekowanego kodu.