我在一台服务器上的 IIS7 上运行 WordPress。出于某种原因,黑客能够更改所有文件的读/写权限,然后在 index.php 文件的顶行注入一个脚本标记。
我应该从哪里开始查找才能弄清楚他们是如何覆盖文件的?
答案1
首先,升级到最新版本的 wordpress。然后禁用所有插件。这样可以阻止这些恶意程序,同时您可以对机器进行更多取证。
查看您的访问日志,查找相关文件 mtime 时间前后的请求,这些请求要么是 POST,要么是带有奇怪查询参数的 GET。注意所请求的 URL,以及它们是否与插件或核心代码相关联,这将有助于缩小攻击媒介的范围。然后,您可以重新启用与问题无关的插件(再次将它们更新到最新版本以最大限度地降低风险)。
从那以后,一切都取决于你之前发现了什么以及你的技能水平。你可以玩蜜罐,尝试获取有关攻击者正在做什么的更多信息,但我猜从你明显的经验水平来看,你可能在这方面会遇到一场艰苦的战斗。一般建议只是及时更新补丁,关注 wordpress 公告以获取安全更新,并祈祷你不会受到零日攻击。