重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

wordpress去后门 wordpress怎么关闭网站

PHP的93个WordPress插件有后门

因为93 个 WordPress 主题和插件包含后门,从而使得攻击者可以完全控制网站。攻击者总共入侵了 AccessPress 的 40 个主题和 53 个插件,AccessPress 是 WordPress 插件的开发者,用于超过 360,000 个活动网站。

目前创新互联建站已为上1000家的企业提供了网站建设、域名、网页空间、网站托管、服务器托管、企业网站设计、江北网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

该攻击是由 Jetpack 的研究人员发现的,Jetpack 是 WordPress 网站安全和优化工具的创建者,他们发现 PHP 后门已被添加到主题和插件中。

Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。

一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品,就会在主主题目录中添加一个新的“initial.php”文件,并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载,它将 webshel l 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装,实质上是让攻击者远程控制受感染的站点。

检测这种威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。

我受到影响吗?

如果您在您的网站上安装了其中一个受感染的插件或主题,则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l。

因此,建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象:

Jetpack 提供了以下 YARA 规则,可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l:

原文链接:PHP的93个WordPress插件有后门

如何在一个被黑的WordPress站点中找到后门并且修复它

我的站也被黑过,并且留了后门,起初我没有发现,隔了一天,我进去看我的战,结果就给我几个字,此站被日,气的我直接花360块钱买了一个护卫神软件,被黑了,没有办法,只有花钱了,不过也不算贵一年360,挺好用的,建议你也去弄个

怎么查找wordpress后门

至此我们已经知道了后门程序一般会隐藏在哪里,那么现在开始要设法找到他们,然后清除他们像删除任何一个文件一样简单,但是难度就在于如何没有遗漏的找到他们,这里给大家介绍一款不错的恶意代码扫描软件,当然是收费的,大家可以有个参考,Sucuri。

你也可以使用 Exploit Scanner插件来扫描。

搜索 Uploads 目录

如果你对SSH命令行熟悉的话,可以通过SSH登陆进去,然后执行以下命令行:

1

find uploads -name "*.php" -print

通过以上命令行扫描出任何.php的文件都是可疑文件,因为Uploads目录不应该有任何.php的文件存在,所以尽管删除这些可疑的文件就是了。

删除任何没启用的模版文件

.htaccess 文件

有时候一些跳转代码被加入到了.htaccess文件,仅仅删除那些后门程序文件并没有用,一会就通过.htaccess文件重建出来了,因此需要在这个文件中彻底清除不该存在的代码。

wp-config.php 文件

将这个文件与 wp-config-sample.php 作对比,删除任何除了自己确认有用的多余的代码。

数据库扫描

厉害的黑客一般都会用多种方式来隐藏他们的行踪,而数据库则是一个非常好的场所,他们可以存储破坏性的PHP函数,隐藏的管理员账号,恶意链接等等,当然如果你不够熟悉SQL,那么上边介绍过的Sucuri将是你不错的选择,尽管付费,但是相信恢复你被黑的站点值得这点付出。

至此你可能觉得已经彻底清除干净了,别高兴太早了,试试打开一个浏览器,确保你站点未登陆状态下打开站点看看是否恶意代码还会回来?因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身,而只对未登陆访客有效,这样好多时候让时刻在线的管理员无处查找。


文章标题:wordpress去后门 wordpress怎么关闭网站
文章URL:http://cqcxhl.cn/article/ddoijpp.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP