Question

当我去

时

http:// MY_IP :8080/uniq/load.php

或

http:// MY_DOMAIN :8080/uniq/load.php

但是当我去

http:// MY_DOMAIN/uniq/load.php

第404页

服务器上的 / uniq / 文件夹没有。

~# find / -name "load.php" -print
/home/site/wp-includes/load.php

我在哪里可以找到此文件？如何清除此病毒？

UPD：

~# netstat -anop | grep LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1798/sendmail: MTA: off (0.00/0/0)
tcp        0      0 127.0.0.1:9312          0.0.0.0:*               LISTEN      1983/searchd     off (0.00/0/0)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1839/mysqld      off (0.00/0/0)
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      1798/sendmail: MTA: off (0.00/0/0)
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      24312/nginx.conf off (0.00/0/0)
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      17574/ld-linux.so.2 off (0.00/0/0)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1996/sshd        off (0.00/0/0)
tcp6       0      0 :::80                   :::*                    LISTEN      24312/nginx.conf off (0.00/0/0)
tcp6       0      0 :::21                   :::*                    LISTEN      1405/proftpd: (acce off (0.00/0/0)
tcp6       0      0 :::22                   :::*                    LISTEN      1996/sshd        off (0.00/0/0)
unix  2      [ ACC ]     STREAM     LISTENING     1515747955 1364/php-fpm.conf)  /var/run/php5-fpm.sock
unix  2      [ ACC ]     STREAM     LISTENING     1515750299 1839/mysqld         /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     1515748802 1798/sendmail: MTA: /var/run/sendmail/mta/smcontrol

临时解决方案

~# kill 17574

解决方案

https://www.debian-administration.org/article/57/Making_/tmp_non-executable

Answer 1

如果您没有备份，处理被黑客攻击的WordPress网站可能会非常困难。

WordPress经常通过恶意文件上传而受到攻击，允许远程用户在系统中添加新文件（cron作业，恶意二进制文件等）。

根据您运行的netstat -anop输出，我们可以看到正在侦听服务器端口8080的进程正在运行。有问题的过程是ld-linux.so.2，最有可能上传到您的服务器，或者可能通过恶意shell在您的系统上编译。找到这个文件并摆脱它。如果您可以通过访问日志了解它是如何实现的，甚至更好。这可能揭示了剥削向量。

我已经看到很多PHP shell后门被上传到攻击者可以通过发送HTTP请求远程控制的服务器。

步骤1：用新下载的WordPress副本替换所有WordPress文件（只需从http://wordpress.org/latest.zip下载并将所有内容上传到您的WordPress站点根目录。这将确保恢复任何已修改的WP文件。

第2步：搜索恶意文件。此命令有助于查找PHP shell脚本：grep -E '(?:(shell_)?exec|system|eval)' /path/to/wordpress/* -R检查它找到的任何文件，并确定是否应删除它们。

步骤3：如果步骤2显示任何匹配，请在服务器访问日志中搜索对这些文件的请求，然后在访问日志中搜索访问它们的IP地址，以查看是否还有其他应删除的内容。

现在可能是循环日志的好时机，以便您重新开始，并可以在接下来的几天内继续检查它们，看看它们是否会再次尝试。

步骤4：查找攻击者可能创建的用于运行计划任务的cronjobs。您只需要查看您的网站用户有权访问的cronjobs。我已经看到这些脚本创建了cron作业来执行任务或定期重启恶意文件。

步骤5：......这绝不是一个完整的清单，而是一个开始。

如果您没有WP备份（数据库和文件），它可能是一个失败的原因。如果您找不到该漏洞攻击，攻击者可以继续在您的网站上运行代码并上传新漏洞。

病毒如何进入WordPress（uniq / load.php - ＆gt; crypted120med.exe）？

1 个答案: