我的一个 WordPress 网站遭遇了一起奇怪的黑客攻击。这是一个小型网站,基本上显示了 5 篇有关办公室是否开放/关闭的博客文章。它并不太复杂,但它被黑客入侵了,现在重定向到一些垃圾邮件/恶意软件网站。
基本上,网站加载页面后,大约 3 秒后就会重定向。我检查了 header.php、index、footer,没有发现任何明显的东西,而且它们也没有被列为已更改。另一件奇怪的事情是,我运行了一个 linux 命令来搜索过去 10 天内更改过的文件,唯一返回的文件是我在检查这些重定向和使用 vi 执行 :wq 时接触过的文件。似乎 php/后端方面的任何东西都没有执行此重定向。
它托管在 apache linux 服务器上。我是否可以在其他地方检查是否进行了此重定向?如果 php 文件中存在导致此问题的原因,它是否会立即重定向而不是让网站加载?没有 .htaccess,我在 apache.conf 文件中没有看到任何明显的内容。
经过一番挖掘,我发现所有页面中都注入了一些脚本。脚本重定向到包含一些恶意内容的页面。但是,wordpress 版本控制并未显示这些页面已被编辑。它没有任何历史记录表明发生过这种情况。是否有可能在 wp-admin 中更改了某些内容以在编辑器中注入这些脚本?或者,如果您对页面的 wordpress 数据库进行更改,它不会创建新版本吗?我应该在哪里检查?我的 wordpress 网站应该具有哪些权限?
谢谢您的帮助!
答案1
如果您的服务器遭到入侵,那么攻击者完全有可能通过后端绕过任何应用程序级版本控制,包括内置的 Wordpress 页面版本和时间戳。还可以伪造文件的修改日期,如下所示:https://askubuntu.com/questions/62492/how-can-i-change-the-date-modified-created-of-a-file。
恶意软件可以通过多种不同的特定方式创建,在每个页面上植入重定向脚本,因此如果不分析特定的恶意软件,就无法确切知道它是如何构建的。一些简单的 JavaScript 完全能够检测您是否通过仪表板登录,并且只会在公共网站上运行重定向代码。
我建议参考以下步骤来应对受感染的服务器:我该如何处理受到感染的服务器?