注意到我们的一个Wordpress网站上出现了广告。把它归结为这些脚本被注入到每个页面的顶部:
public boolean onCommand(CommandSender sender, Command command, String alias, String[] args) {
if (command.getName().equalsIgnoreCase("gift") && sender instanceof Player) {
Player player = (Player) sender; // Cast player
int index = rnd.nextInt(10); // Pseudorandom value between 0 and 9
// The array with material enumerators (10 elements, indices from 0 to 9)
Material[] materials = {Material.APPLE, Material.IRON_INGOT, Material.GOLD_INGOT, Material.DIAMOND, Material.CARROT, Material.IRON_SPADE, Material.IRON_PICKAXE, Material.IRON_SWORD, Material.IRON_AXE, Material.IRON_HOE};
player.getInventory().addItem(new ItemStack(materials[index])); // Add a new ItemStack to the player's inventory using the selected material
}
return false;
}
一直在查看所有文件和数据库几个小时,无法弄清楚是什么注入它或它是如何到达那里的。
到目前为止我们发现了什么:
但我们仍然无法找到脚本注入的位置或方式。
任何帮助非常感谢。
有人在这里有类似的问题,但不幸的是删除了他们的帖子,所以只有缓存的遗骸: http://webcache.googleusercontent.com/search?q=cache:US-HRpncY-QJ:stackoverflow.com/questions/33398784/script-being-injected-into-the-top-of-all-my-wordpress-page+&cd=1&hl=en&ct=clnk&gl=au
答案 0 :(得分:1)
尝试缩小注射源。
答案 1 :(得分:1)
在过去的24小时左右,我的客户也发生了同样的事情。
您能分享一些有关您使用的插件和wordpress版本的信息吗?
影响此的文件是 wp-admin / setup-config.php 。它有加密的bash代码。我还发现在wp_users中生成了两个管理员用户。我认为很明显它是一种自动攻击,但它非常复杂。
我通过谷歌搜索在一些随机网站上找到了代码。你可以在这里查看它:http://tmp.mongit.com/tools/core.txt - 它似乎是一个shell文件,但是当谈到websec时我并不是很聪明。
在我客户端的服务器上,我还在root / tmp /文件夹(cPanel)中找到了废话,wp_redirect以某种方式访问了该文件夹(在pluggable.php第1196行中引用)。这些文件以JSON格式保存一些MySQL信息和WP数据库查询。不确定这些文件的存在方式和原因。
[29-Oct-2015 02:45:59 UTC] PHP警告:无法修改标头信息 - 已经发送的标头(输出从 / home / xxx / public_html / wp-admin / setup-config开始。 php(514):eval()'d code(1):eval()'d code:2) in /home/xxx/public_html/wp-includes/pluggable.php on line 1196
答案 2 :(得分:0)
几个小时前有同样的问题。 最后在第一行注入脚本调用的root wordpress“index.php”中找到,脚本调用同一目录下的文件,名称staretd与.xxxxx一样.htaccess,所以它隐藏在例如TCMD中。 清除了行并删除了文件,现在一切正常。 但是有人怎么能控制index.pho我不知道......