我在 Bluehost 共享主机环境中托管了许多 wordpress 网站。最近,当我在 Google 中搜索其中一个网站时,系统提示“该网站可能已被入侵”。
我收到了 Google 网站管理员的警告,其中有一个 WP 网站存在脚本。当我检查这些网站时,我在页脚中发现了一些链接,其中提到了"myteenmovies.net"另一个网站。Whois 信息显示,它们是俄罗斯网站。
我还发现了一些其他 PHP 文件,它们的名字很奇怪,wxwz.php等等xypz.php……PHP 代码就是用eval(gununcompress(base64_decode()))类似的代码加密的。还有一个文件有注释“#Web Shell by orb”。
我知道黑客已经完全访问了我的服务器(使用 Webshell 脚本)。所有网站都很老旧(大约一年),Wordpress 2.5。权限是 755。有人能猜一下或建议一下黑客是如何上传文件的吗?FTP/SSH/Cpanel 密码非常强。还有其他方法吗?
答案1
这就是你的问题所在。大多数此类攻击都是通过自动脚本执行的,这些脚本会查找旧版 WordPress 系统中的已知漏洞。由于任何人都可以查看错误报告和更改日志,因此编写脚本来利用漏洞并不太难。
最好的防御措施就是始终保持你的 wordpress 版本和主题/插件都是最新的。
我的一些不再存在的博客曾经也遇到过这个问题,但通过不断更新它们,问题就解决了。
对您现有的博客执行 grep 并在 WP 目录中查找任何 iframe 或 eval 方法调用。还要检查数据库。一旦一切清理完毕,请更新您的 WP 版本和主题/插件并保持更新。
接下来登录 Google 网站管理员,如果您还没有这样做,请证明所有权并请求对您的网站进行审核。警告应该会在一段时间后消失。
答案2
欢迎面对现实。您的网站被黑客入侵是因为您完全没有采取任何预防措施。运行如此老旧且易受攻击的 WordPress 版本只会让这种情况发生。鉴于您发出的邀请,当有人来参加聚会时不要感到惊讶。
我建议你要么在网站上多下点功夫,要么就别再当网站管理员了,找一个懂行的人来管理你的系统,确保所有合理的安全措施都得到实施,包括必要时进行升级。网站可不只是把一个预装好的软件放到网站上,输入一些内容,然后坐等休息。
答案3
除非你有事发当天的日志,否则你可能根本无法知道事情是怎么发生的。大量针对wordpress 的历史版本,例如 2.5。以下是一些可能涉及这些漏洞的 CVE:
您是否保持插件最新?它们也存在漏洞,这可能是攻击途径也。
您可能要花几天时间查看 CVE 和漏洞代码,但它们之所以会出现在那里(假设是通过 wordpress)是因为代码中存在一些错误。这个错误可能在几年前就被发现了,广泛发布,并且已经修复。您的 wordpress 安装可能没有什么特别之处,它可能是通过一些寻找旧版 wordpress 的自动化工具被利用的。
您是否保持插件最新?它们也存在漏洞,这可能是攻击途径也。
如果你只是想看看有人如何利用旧版本的 WordPress,只需搜索http://exploit-db.com。
FTP/SSH/Cpanel 密码非常强
您是否重复使用密码?您的 FTP 密码是否与您 3 年前注册的那个以明文形式存储密码并被黑客入侵的论坛的密码相同?这是另一种攻击途径。