建站
咨詢
售后
建站咨詢
新聞中心
PHP的93個WordPress插件有后門
因為93 個 WordPress 主題和插件包含后門,從而使得攻擊者可以完全控制網站。攻擊者總共入侵了 AccessPress 的 40 個主題和 53 個插件,AccessPress 是 WordPress 插件的開發(fā)者,用于超過 360,000 個活動網站。
目前創(chuàng)新互聯(lián)建站已為上1000家的企業(yè)提供了網站建設、域名、網頁空間、網站托管、服務器托管、企業(yè)網站設計、江北網站維護等服務,公司將堅持客戶導向、應用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
該攻擊是由 Jetpack 的研究人員發(fā)現(xiàn)的,Jetpack 是 WordPress 網站安全和優(yōu)化工具的創(chuàng)建者,他們發(fā)現(xiàn) PHP 后門已被添加到主題和插件中。
Jetpack 認為外部威脅攻擊者入侵了 AccessPress 網站以破壞軟件并感染更多的 WordPress 網站。
一旦管理員在他們的網站上安裝了一個受感染的 AccessPress 產品,就會在主主題目錄中添加一個新的“initial.php”文件,并將其包含在主“functions.php”文件中。該文件包含一個 base64 編碼的有效負載,它將 webshel l 寫入“./wp-includes/vars.php”文件。惡意代碼通過解碼并將其注入“vars.php”文件來完成后門安裝,實質上是讓攻擊者遠程控制受感染的站點。
檢測這種威脅的唯一方法是使用核心文件完整性監(jiān)控解決方案,因為惡意軟件會刪除“initial.php”文件釋放器以掩蓋其蹤跡。
我受到影響嗎?
如果您在您的網站上安裝了其中一個受感染的插件或主題,則刪除/替換/更新它們不會根除任何可能通過它植入的 webshel l。
因此,建議網站管理員通過執(zhí)行以下操作來掃描他們的網站是否存在入侵跡象:
Jetpack 提供了以下 YARA 規(guī)則,可用于檢查站點是否已被感染并檢測 dropper 和已安裝的 webshel l:
原文鏈接:PHP的93個WordPress插件有后門
如何在一個被黑的WordPress站點中找到后門并且修復它
我的站也被黑過,并且留了后門,起初我沒有發(fā)現(xiàn),隔了一天,我進去看我的戰(zhàn),結果就給我?guī)讉€字,此站被日,氣的我直接花360塊錢買了一個護衛(wèi)神軟件,被黑了,沒有辦法,只有花錢了,不過也不算貴一年360,挺好用的,建議你也去弄個
怎么查找wordpress后門
至此我們已經知道了后門程序一般會隱藏在哪里,那么現(xiàn)在開始要設法找到他們,然后清除他們像刪除任何一個文件一樣簡單,但是難度就在于如何沒有遺漏的找到他們,這里給大家介紹一款不錯的惡意代碼掃描軟件,當然是收費的,大家可以有個參考,Sucuri。
你也可以使用 Exploit Scanner插件來掃描。
搜索 Uploads 目錄
如果你對SSH命令行熟悉的話,可以通過SSH登陸進去,然后執(zhí)行以下命令行:
1
find uploads -name "*.php" -print
通過以上命令行掃描出任何.php的文件都是可疑文件,因為Uploads目錄不應該有任何.php的文件存在,所以盡管刪除這些可疑的文件就是了。
刪除任何沒啟用的模版文件
.htaccess 文件
有時候一些跳轉代碼被加入到了.htaccess文件,僅僅刪除那些后門程序文件并沒有用,一會就通過.htaccess文件重建出來了,因此需要在這個文件中徹底清除不該存在的代碼。
wp-config.php 文件
將這個文件與 wp-config-sample.php 作對比,刪除任何除了自己確認有用的多余的代碼。
數(shù)據(jù)庫掃描
厲害的黑客一般都會用多種方式來隱藏他們的行蹤,而數(shù)據(jù)庫則是一個非常好的場所,他們可以存儲破壞性的PHP函數(shù),隱藏的管理員賬號,惡意鏈接等等,當然如果你不夠熟悉SQL,那么上邊介紹過的Sucuri將是你不錯的選擇,盡管付費,但是相信恢復你被黑的站點值得這點付出。
至此你可能覺得已經徹底清除干凈了,別高興太早了,試試打開一個瀏覽器,確保你站點未登陸狀態(tài)下打開站點看看是否惡意代碼還會回來?因為好多聰明的黑客很巧妙的讓這些惡意代碼對登陸過的用戶隱身,而只對未登陸訪客有效,這樣好多時候讓時刻在線的管理員無處查找。
網站題目:wordpress去后門 wordpress怎么關閉網站
新聞來源:http://ef60e0e.cn/article/ddoijpp.html
