早上好,我突然在我的 WordPress 网站上发现了管理员用户和一个我从未安装过的名为 wp-cleansong 的插件。当我浏览时该网站会重定向。我该如何解决?
我给你留下有关此黑客的详细信息:
易受攻击的插件: litespeed-cache (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N)
受影响的版本<= 5.7 Patched Version 5.7.0.1
您可以快速查看 wp-content/plugins/litespeed-cache/readme.txt
症状:
创建管理员用户 通过函数 clean_header() 函数挂钩 wp_head 的 js 生成的重定向 受感染的核心文件,例如 wp-blog-header.php 执行:
攻击者可以将任意网页脚本注入到管理员首次登录 wp-admin 时运行的页面中。事实上,该插件将在与登录完全相同的日期和时间创建,正如您从 access.log Plane.php 中看到的那样,使用 base64 url =base64_decode("aHR0cHM6Ly9kbnMuc3RhcnRzZXJ2aWNlZm91bmRzLmNvbS9zZXJ2aWNlL2YucGhw");指向 hxxps://dns[.]startservicefounds[.]com/service/f.php (黑名单网址)
来源:
https://www.risorsainformatica.com/rimozione-malware-sito-wordpress/
对 1500 多个网站执行了恶意软件删除,其中 30 个网站遭受了这种特定攻击。
备注: 首次发现于 2024 年 2 月 27 日
预防: 更新到最新版本 Litespeed 缓存插件
/plugins/wp-cleansong/plane.php 的 HTTP(S) 监控
使用htaccess阻止对song和song1的请求
重写引擎开启
RewriteCond %{QUERY_STRING} 歌曲 1 [NC,OR]
RewriteCond %{QUERY_STRING} 歌曲2 [NC]
重写规则 ^ - [F]
您还可以阻止plane.php,wp-cleansong.php和song.php