PHP的93個(gè)WordPress插件有后門(mén)

因?yàn)?3 個(gè) WordPress 主題和插件包含后門(mén)，從而使得攻擊者可以完全控制網(wǎng)站。攻擊者總共入侵了 AccessPress 的 40 個(gè)主題和 53 個(gè)插件，AccessPress 是 WordPress 插件的開(kāi)發(fā)者，用于超過(guò) 360,000 個(gè)活動(dòng)網(wǎng)站。

目前創(chuàng)新互聯(lián)建站已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁(yè)空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計(jì)、江北網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

該攻擊是由 Jetpack 的研究人員發(fā)現(xiàn)的，Jetpack 是 WordPress 網(wǎng)站安全和優(yōu)化工具的創(chuàng)建者，他們發(fā)現(xiàn) PHP 后門(mén)已被添加到主題和插件中。

Jetpack 認(rèn)為外部威脅攻擊者入侵了 AccessPress 網(wǎng)站以破壞軟件并感染更多的 WordPress 網(wǎng)站。

一旦管理員在他們的網(wǎng)站上安裝了一個(gè)受感染的 AccessPress 產(chǎn)品，就會(huì)在主主題目錄中添加一個(gè)新的“initial.php”文件，并將其包含在主“functions.php”文件中。該文件包含一個(gè) base64 編碼的有效負(fù)載，它將 webshel l 寫(xiě)入“./wp-includes/vars.php”文件。惡意代碼通過(guò)解碼并將其注入“vars.php”文件來(lái)完成后門(mén)安裝，實(shí)質(zhì)上是讓攻擊者遠(yuǎn)程控制受感染的站點(diǎn)。

檢測(cè)這種威脅的唯一方法是使用核心文件完整性監(jiān)控解決方案，因?yàn)閻阂廛浖?huì)刪除“initial.php”文件釋放器以掩蓋其蹤跡。

我受到影響嗎？

如果您在您的網(wǎng)站上安裝了其中一個(gè)受感染的插件或主題，則刪除/替換/更新它們不會(huì)根除任何可能通過(guò)它植入的 webshel l。

因此，建議網(wǎng)站管理員通過(guò)執(zhí)行以下操作來(lái)掃描他們的網(wǎng)站是否存在入侵跡象：

Jetpack 提供了以下 YARA 規(guī)則，可用于檢查站點(diǎn)是否已被感染并檢測(cè) dropper 和已安裝的 webshel l：

原文鏈接：PHP的93個(gè)WordPress插件有后門(mén)

如何在一個(gè)被黑的WordPress站點(diǎn)中找到后門(mén)并且修復(fù)它

我的站也被黑過(guò)，并且留了后門(mén)，起初我沒(méi)有發(fā)現(xiàn)，隔了一天，我進(jìn)去看我的戰(zhàn)，結(jié)果就給我?guī)讉€(gè)字，此站被日，氣的我直接花360塊錢(qián)買了一個(gè)護(hù)衛(wèi)神軟件，被黑了，沒(méi)有辦法，只有花錢(qián)了，不過(guò)也不算貴一年360，挺好用的，建議你也去弄個(gè)

怎么查找wordpress后門(mén)

至此我們已經(jīng)知道了后門(mén)程序一般會(huì)隱藏在哪里，那么現(xiàn)在開(kāi)始要設(shè)法找到他們，然后清除他們像刪除任何一個(gè)文件一樣簡(jiǎn)單，但是難度就在于如何沒(méi)有遺漏的找到他們，這里給大家介紹一款不錯(cuò)的惡意代碼掃描軟件，當(dāng)然是收費(fèi)的，大家可以有個(gè)參考，Sucuri。

你也可以使用 Exploit Scanner插件來(lái)掃描。

搜索 Uploads 目錄

如果你對(duì)SSH命令行熟悉的話，可以通過(guò)SSH登陸進(jìn)去，然后執(zhí)行以下命令行：

1

find uploads -name "*.php" -print

通過(guò)以上命令行掃描出任何.php的文件都是可疑文件，因?yàn)閁ploads目錄不應(yīng)該有任何.php的文件存在，所以盡管刪除這些可疑的文件就是了。

刪除任何沒(méi)啟用的模版文件

.htaccess 文件

有時(shí)候一些跳轉(zhuǎn)代碼被加入到了.htaccess文件，僅僅刪除那些后門(mén)程序文件并沒(méi)有用，一會(huì)就通過(guò).htaccess文件重建出來(lái)了，因此需要在這個(gè)文件中徹底清除不該存在的代碼。

wp-config.php 文件

將這個(gè)文件與 wp-config-sample.php 作對(duì)比，刪除任何除了自己確認(rèn)有用的多余的代碼。

數(shù)據(jù)庫(kù)掃描

厲害的黑客一般都會(huì)用多種方式來(lái)隱藏他們的行蹤，而數(shù)據(jù)庫(kù)則是一個(gè)非常好的場(chǎng)所，他們可以存儲(chǔ)破壞性的PHP函數(shù)，隱藏的管理員賬號(hào)，惡意鏈接等等，當(dāng)然如果你不夠熟悉SQL，那么上邊介紹過(guò)的Sucuri將是你不錯(cuò)的選擇，盡管付費(fèi)，但是相信恢復(fù)你被黑的站點(diǎn)值得這點(diǎn)付出。

至此你可能覺(jué)得已經(jīng)徹底清除干凈了，別高興太早了，試試打開(kāi)一個(gè)瀏覽器，確保你站點(diǎn)未登陸狀態(tài)下打開(kāi)站點(diǎn)看看是否惡意代碼還會(huì)回來(lái)？因?yàn)楹枚嗦斆鞯暮诳秃芮擅畹淖屵@些惡意代碼對(duì)登陸過(guò)的用戶隱身，而只對(duì)未登陸訪客有效，這樣好多時(shí)候讓時(shí)刻在線的管理員無(wú)處查找。

名稱欄目：wordpress去后門(mén) wordpress怎么關(guān)閉網(wǎng)站
網(wǎng)站URL：http://www.chinadenli.net/article38/ddoijpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站設(shè)計(jì)、用戶體驗(yàn)、App設(shè)計(jì)、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)