该恶意脚本来源于域名cloudflare.solutions，但是该站点与Cloudflare并没有隶属关系，该脚本可以记录用户input field的任何输入。而且，该脚本在站点的前端和后端都会加载，这就意味着可以当登录到站点的管理面板时，可以记录用户名和密码。

WordPress site站点上的Keylogger

当脚本在前端运行时，也是很危险的。在大多数的wordpress站点，该脚本只能窃取comment域的用户数据。因为一些wordpress站点被配置成在线商店了，所以攻击者可以记录信用卡数据和个人的其他隐私信息。

当wordpress站点出现这样的情况时，说明该站点被黑了。攻击者利用各种方式将恶意脚本隐藏在functions.php文件中，因为该文件是wordpress主题中的标准文件，不会引起怀疑。

攻击从4月发起

这并不是一种新型的攻击，Sucuri追踪发现cloudflare.solutions域名上至少有3种不同的恶意脚本。第一个是4月份，攻击者利用恶意的JS文件在被黑的网站上嵌入广告。

11月的时候，攻击者就改变了攻击的策略，将恶意脚本伪装成假的jQuery和Google Analytics JS文件，这实际上是Coinhive浏览器内的加密货币挖矿机。截止11月22日，已经有1833个站点被黑。

检测到的最近的一次攻击是，黑客除了保留加密货币挖矿机脚本外，还添加了keylogger组件。

根据PublicWWW的数据分析，恶意脚本至少存在于5496个站点中。

专家建议

因为恶意代码存在于wordpress主题的function.php文件中，所以移除add_js_scripts函数和与add_js_scripts相关的所有语句。

另外，因为恶意软件有keylogger的功能，所以需要考虑wordpress站点密码泄露的问题，下一步应该修改wordpress的登录密码。y