本人是博主、站长,运营数十个 WordPress 的站。
大约一周之前,陆续地发现,几个站多了一篇状态为“ Trash ”的文章,标题均为《 Hello World 》,内容均为"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"
当即判断该站被挂马,已被提权。
以"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"为关键字在 G 上搜了一下,前几十页的结果大多发生在今年,仅本月就出现 19 页结果。
8 月 1 日凌晨左右,陆陆续续有站被放上后门。
以被黑的几个站为线索,找到了一个名为 backdoorGood.txt 的列表,里面记录了 35000 个被攻破的站的信息: formfactset.org:8082/static/backdoorGood.txt
其中,我的某些站的域名在列表里,其它的也不乏各国的 .gov 网站、我国同胞的 .cn 站。可以看到,大多数被挂马的目录,都是 /2019/07/ 或 /2019/08/ ,然而 8 月才刚刚过去不到一天。
目前幕后黑手不明、动机不明。
对我造成的影响不大,如果哪位 V 友感兴趣,可以深入挖掘一下。说不定有惊喜 :-)
1
Deteriorator 2019-08-02 13:21:27 +08:00
我靠,赶紧看看,还好没我, :-)
|
2
julypanda 2019-08-02 13:46:08 +08:00
我的不在里面
坐等大佬深挖 |
3
Felldeadbird 2019-08-02 16:52:21 +08:00
关注,会不会是某个插件呢?
|
4
ylx 2019-08-02 17:53:38 +08:00
我的正常,一般都跟进更新到最新版
|
5
windirt 2019-08-02 19:42:57 +08:00 via iPhone
我说昨天有个虚拟主机上的 wp 站打开 402 错误,cpanel 看内存全部耗尽,提 ticket 才恢复,没有被挂,估计是被攻击,wp 是设置了自动升级最新版的
|
6
MarkZuckerberg OP |
7
ayconanw 2019-08-04 14:11:29 +08:00
是 wordpress 的漏洞还是某个插件的漏洞 /后门?
|
8
MarkZuckerberg OP |
9
Felldeadbird 2019-08-04 22:34:51 +08:00
@MarkZuckerberg 分析一下看看是那个插件? 对比一下手头没有被黑的站。WP 有一些插件漏洞真的可怕。
|
10
ck00004 2019-08-05 09:07:38 +08:00
可以提供下日志和插件使用列表吗
|
11
ck00004 2019-08-05 09:08:41 +08:00
我分析一下
|
12
PHPer233 2019-08-05 18:10:25 +08:00
我是一名网络安全工程师,楼主能否提供网站访问日志等信息方便我排查问题根源?
|
13
luc4s 2019-08-05 21:27:09 +08:00
能否提供一些被篡改的 php 文件示例
|
14
silencefent 2019-08-06 14:19:12 +08:00
煎蛋药丸
|
15
smallgoogle 2019-08-07 17:32:17 +08:00
全都是一个下载后门。。大概内容就是,发送一个下载地址给他,然后他下载一个后门,大概是用来 DD 或者 CC 的。然后他那边主控上线。就酱紫; 里面涵盖了一个 kill 杀掉原有的马进程,然后启动新马;就是酱紫。
|
16
comwrg 2019-08-09 17:53:13 +08:00
|