我是WP的新手,并试图帮助朋友清理他们被黑客入侵的网站。我看到的文件名称如下:
wp-comments-post234.php
wp-trackback.php111
571719714.php
有没有办法判断这些文件是否正在使用和/或是否是恶意文件?
答案 0 :(得分:5)
这些文件是不是原生WordPress文件。
如果您有 ssh 访问服务器的权限,例如:
设置全新安装并使用以下方法搜索这些可疑文件:
find /path/to/clean/wordpress/ -type f -name 'wp-comments-post234.php'
将整个感染的 WordPress目录与干净的目录进行比较:
diff -r -q /path/to/clean/wordpress/ /path/to/infected/wordpress/ > diff.log
您可以在其中使用各种diff parameters。在这里,我们使用-r用于递归和-q用于简要或输出,只是文件不同。
使用@evanv的好建议找到已修改的文件并运行:
find /path/to/infected/wordpress/ -type f -mtime -7
在上周(7天)内查找已修改的文件。使用-ctime进行文件创建时间,使用-atime进行文件访问时间。
但您应该考虑重新安装WordPress并浏览以下Codex页面:
并检查那里提到的参考文献。
答案 1 :(得分:3)
您可以使用这两个wordpress插件来检测任何恶意文件:
名称Sucuri的高级服务也很有帮助(还提供免费扫描)。
清理网站安装WordPress File Monitor Plus插件后,每次更改某个文件时都会向您发送电子邮件。通过这种方式,您将能够快速恢复某些黑客未来所做的任何更改!
答案 2 :(得分:1)
bigire是正确的。这些不是本机WordPress文件。
如果是我,我会查看创建日期和修改日期的文件,看看你是否能识别出一个模式。至少,您需要清除已添加的错误文件,并在其他好的文件中查找恶意代码(如wp-config.php)。
为了知道哪些文件和/或代码是恶意的,你要么必须仔细研究WordPress,因为它应该是一个干净的WordPress安装和你朋友的主题,或者你会想要找一个专门从事网络(理想情况下是WordPress)安全的人来帮助你看看。根据您使用WordPress的经验水平,这可能是您完成的一项非常困难的任务。 WordPress本身实际上非常安全。通常通过主题或插件引入漏洞....修复问题是一回事。但找到导致它的原因并确保它不会再次发生......这是一项非常重要的任务,应该执行一项任务。我是一个DIY粉丝而且喜欢你正在研究这个...但是只是预先警告,如果你对WordPress不太熟悉,这将花费很长时间来修复