我已去过这个网站: http://www.google.com/webmasters/hacked/ 所以我正在隔离我们的网站和更改密码。但我的问题与访问日志中的post命令有关。最常见的是:
“POST / event / actionscript-june-201 / trackback / HTTP / 1.1”200 983 “http://www.brookwood.com/event/actionscript-june-201/”
和
“POST /wp-content/indexfoMt.php HTTP / 1.1”200 983“ - ”“ - ” brookwood.com
这两个问题的最大问题是它们中的任何一个都没有实际创建文件,就像indexfoMt文件是在服务器上创建和删除的,因为那里没有这样的文件。
所以我的问题是,我怎样才能最好地浏览我的wordpress网站以确保我清除了所有被黑客入侵的代码内容?我知道有可能更改密码可以解决问题,它有多大可能会消除这些调用的访问日志?
最后,我应该将网站隔离多长时间,Google不会向我们提供有关网站隔离时间的任何指示。 提前谢谢。
答案 0 :(得分:2)
有人可能正在使用您的WordPress安装来攻击某些内容。我现在在我自己的CentOS盒子上面对它几天,它上面有几个WordPress博客。您可能无法通过浏览WordPress网站来解决这个问题。您必须登录该框或要求您的提供商为您执行此操作。
下载nethogs,查看哪个进程传输的数据超出预期。如果它是例如名为host的进程,那么请查看它与lsof一起使用的文件(见下文)。然后您可能会发现哪个WordPress安装受到影响。然后转到WordPress文件夹并查找新的可疑文件。
在我看来是这样的情况。请参阅bruteforce.so。
[root@/domain/ logs]# lsof | grep 1706
...
host 1706 /domain/ cwd DIR 253,0 4096 10178 /home//domain//public_html/wp-content/themes/twentyeleven
...
host 1706 /domain/ DEL REG 253,0 656 /home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.so
如果您受到了损害,请重新创建服务器并使用备份来恢复它,如https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server中所述。
答案 1 :(得分:0)
尝试在您的网络目录周围找到后门,重置所有密码,数据库信息,更新您的wordpress和登录详细信息。
以下是我在客户端服务器上找到的后门:
这一个:
尝试使用grep找到你也拥有它们。