Wordpressのは、妥協が、私は私のWordpressのサイトは今SPAMサイトにリダイレクトJSスクリプトを果たす侵害された方法

Question

今日知りません。

は、私は何が起こったかを再構築するために、Apacheのログの内側に見えたが、私はこれをinterpretateする方法を知ることができません：あなたは、誰かがログインしようとしている見ることができますが、彼はできないとして

xx.xx.xx.xx - - [09/Jan/2017:10:24:42 +0100] "GET /wp-login.php HTTP/1.1" 200 6111 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:42 +0100] "GET /wp-login.php HTTP/1.1" 200 6111 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:43 +0100] "GET /wp-login.php HTTP/1.1" 200 6111 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:43 +0100] "GET /wp-login.php HTTP/1.1" 200 6111 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:43 +0100] "POST /wp-login.php HTTP/1.1" 302 4 "/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:43 +0100] "POST /wp-login.php HTTP/1.1" 302 4 "/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:44 +0100] "GET /wp-admin/ HTTP/1.1" 302 4 " http://my.host.name/wp-login.php " "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:44 +0100] "GET /wp-admin/ HTTP/1.1" 200 219966 "/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:47 +0100] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 183974 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:48 +0100] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentyfourteen HTTP/1.1" 500 3427 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" xx.xx.xx.xx - - [09/Jan/2017:10:24:49 +0100] "GET /wp-admin/theme-install.php?upload HTTP/1.1" 200 161448 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"

。しかし、 "/ wp-admin /"への2回のシンプルなGET要求がログインしたようで、新しいテーマを修正してインストールすることができます。

この時点で、公式サイトのwordpress.orgからダウンロードしたオリジナルのものとサーバーに存在するwp-adminディレクトリの違いを見つけようとしましたが、違いは見つかりませんでした。 wp-adminにあるすべてのファイルを "diff"ユーティリティと比較したところ、違いは見つかりませんでした。例： diff /var/www/html/original.wordpress/wp-admin/themes.php /var/www/html.hacked/wp-admin/themes.phpコードを出力していません

証拠を見つけるのを手伝ってもらえますか？

/wp-admin/theme-install.php?upload

は、あなたのテーマやプラグインが更新されていることを確認してください：あなたがここに起こったエクスプロイトのよう

Answer 1

が見えます。その最後のリクエストは、Webサーバーから200人の応答を攻撃者に返し、バックドアのアップロードに使用された可能性があります。/wp-content/uploads /の内容を監査して、そこにPHPファイル（バックドアシェル）がないかどうかを調べます。そうであれば、サイト内でピボットすることが可能なので、PHPバックドアを含む他のディレクトリが他の場所に存在する可能性があります。