我们的系统提醒我,在 /tmp 目录中发现了一个 PHP shell。首先,我想知道它是怎么到这里来的,以及为什么会在这里 - 有没有办法在这个级别执行 PHP?
其次,它是通过 WordPress 安装以某种方式上传的 - 追踪这件事发生的过程并不容易,但有人知道这件事大概是怎么发生的吗?网站上没有面向公众的上传表格。
谢谢,克里斯。
答案1
您没有提到您的 tmp 文件夹相对于 webroot 的位置,但在很多方面,这并不重要。PHP 可以在那里执行吗?这取决于您的/您的 web 主机的 apache 配置。它是如何到达那里的?同样,这只是猜测,但:
- Wordpress 本身 - 它有多新?它是否已针对最新的安全漏洞进行了修补?
- 您安装的所有 wordpress 插件 - 同样适用,它们都是最新的吗?
- 如果您使用的是共享主机,您的网站可能不是黑客的切入点。在这种情况下,与您的网站位于同一台服务器上的任何单个易受攻击的网站都可能被用来攻击同一台服务器上托管的任何或所有其他网站(甚至其他网站,取决于网站托管商的配置有多糟糕!)
至于要找出它的来源,Web 服务器日志显然是开始查找的地方。您要查找的请求“不符合”通常的流量。例如,源 IP 地址的国家/地区、正在 GET 或 POST 的资源。
此外,除非您有可靠的方法来验证您的网站没有以其他方式受到损害,否则您几乎肯定会希望恢复上次已知的良好备份。
祝你好运