今天登录我的一个WordPress网站后,Securi插件报告已添加以下文件:
01/04/2015 - 新文件添加了checkandall.php(大小:592)
它位于我的服务器的根目录,包含以下代码:
<?php
error_reporting(0);
function GetListFiles($folder,&$all_files){
$fp=opendir($folder);
while($cv_file=readdir($fp)) {
if(is_file($folder."/".$cv_file)) {
if(is_writable($folder)){
$all_files[]=$folder."/*";
}
}elseif($cv_file!="." && $cv_file!=".." && is_dir($folder."/".$cv_file)){
GetListFiles($folder."/".$cv_file,$all_files);
}
}
closedir($fp);
}
$all_files=array();
GetListFiles("/var/sites/w/www.mydomain/public_html/",$all_files);
$result = array_unique($all_files);
print_r($result);
?>
有更多PHP经验的人可以解释一下这是做什么的吗?我认为它是一个已注入的文件,用于监控我的WordPress网站的其余部分。
其他与我有关的行为:
01/04/2015 - 删除了插件:帖子的PHP代码(v1.2.0; php-code-for-posts / PHPPostCode.php) - 我没有采取行动
01/04/2015 - 已停用插件:Sucuri Security - 审核,恶意软件扫描程序和强化 - 未由我采取行动
01/04/2015 - 添加了媒体文件;标识符:328;名称:maink.php;类型。 - 我没有采取行动
01/04/2015 - 已安装插件:maink.php - 未由我采取行动
幸运的是,我的主机每天进行异地备份,因此我可以进行恢复。我很想知道这是怎么发生的,黑客的可能影响是什么。
答案 0 :(得分:1)
在这种情况下,此脚本将获取特定基目录(&#34; /var/sites/w/www.mydomain/public_html /")中所有目录中所有文件的列表,并打印出一个可写入屏幕的目录列表。这可能是攻击者找到上传新脚本的地方,他们将用它们来进行进一步的攻击。</ p>
看起来有人获得了对您的Wordpress网站的管理访问权限,并且正在使用它来上传其他脚本以造成更多损害。安装的插件可能会为攻击者利用漏洞提供进一步的漏洞。使服务器脱机,从备份还原,更改所有数据库和Wordpress管理员凭据,然后将Wordpress更新到最新版本。