如何在被黑客入侵的WordPress網站中找到後門並進行修復


我們一次又一次地幫助用戶修復被黑的WordPress網站。 在大多數情況下,當他們與我們聯繫時,他們已經清理了該站點,並且黑客能夠重新進入該站點。如果您沒有正確清理它,或者您不知道所要查找的內容,則會發生這種情況。 。 在我們發現的大多數情況下,黑客創建了一個後門,使他們可以繞過常規身份驗證。 在本文中,我們將向您展示如何在被黑的WordPress網站中找到後門並進行修復。

什麼是後門?

後門是指一種繞過常規身份驗證並獲得在未檢測到的情況下遠程訪問服務器的能力的方法。 大多數聰明的黑客總是將後門上傳為第一件事。 即使您找到並刪除了被利用的插件,這也使他們能夠重新獲得訪問權限。 後門通常會在升級後倖免於難,因此您的站點很容易受到攻擊,直到您將其清除。

一些後門程序僅允許用戶創建隱藏的管理員用戶名。 而更複雜的後門程序可以使黑客執行從瀏覽器發送的任何PHP代碼。 其他人則擁有完整的用戶界面,使他們能夠在您的服務器上發送電子郵件,執行SQL查詢以及其他他們想做的事情。

後門截圖

該代碼隱藏在哪裡?

WordPress安裝中的後門程序通常存儲在以下位置:

  1. 主題 –很可能不是您當前使用的主題。 黑客希望代碼在核心更新中生存下來。 因此,如果您的主題目錄中有舊的Kubrick主題,或者另一個非活動主題,則代碼可能位於其中。 因此,我們建議刪除所有不活動的主題。
  2. 外掛程式 –出於以下三個原因,插件是黑客隱藏代碼的好地方。 一是因為人們並不真正看他們。 二是因為人們不喜歡升級其插件,所以他們在升級中倖免於難(民間讓他們保持最新)。 第三,有一些編碼較差的插件,可能一開始就有自己的漏洞。
  3. 上傳目錄 –作為博客作者,您永遠不會檢查上傳目錄。 你怎麼會您只需上傳圖片,然後在帖子中使用它即可。 您可能在上載文件夾中按年和月劃分了數千張圖像。 對於黑客來說,將後門上傳到上載文件夾非常容易,因為它會隱藏在數千個媒體文件中。 另外,您不定期檢查它。 大多數人沒有像Sucuri這樣的監視插件。 最後,uploads目錄是可寫的,因此它可以按預期的方式工作。 這使其成為一個很好的目標。 我們發現了很多後門。
  4. wp-config.php –這也是黑客的高度針對性文件之一。 這也是大多數人被告知首先去的地方之一。
  5. 包括文件夾 – / wp-includes /文件夾是我們找到後門的另一個地方。 一些黑客總是會留下多個後門文件。 一旦上傳,他們將添加另一個備份以確保其訪問權限。 Includes文件夾是大多數人都不會去找的另一個文件夾。

在我們發現的所有情況下,後門都偽裝成看起來像WordPress文件。

例如:在一個我們清理的站點中,後門位於wp-includes文件夾中,它的名稱為wp-user.php(在正常安裝中不存在)。 沒有user.php,但/ wp-includes /文件夾中沒有wp-user.php。 在另一個實例中,我們在上載文件夾中找到了一個名為hello.php的php文件。 它偽裝成Hello Dolly插件。 但是,為什麼該文件位於上載文件夾中? 天啊

它還可以使用wp-content.old.tmp,data.php,php5.php之類的名稱。 它不必以PHP結尾,因為其中包含PHP代碼。 它也可以是.zip文件。 在大多數情況下,這些文件使用base64代碼編碼,這些代碼通常執行所有排序操作(即,添加垃圾郵件鏈接,添加其他頁面,將主站點重定向到垃圾頁面等)。

現在您可能會認為WordPress不安全,因為它允許使用後門。 你死定了。 當前版本的WordPress沒有已知漏洞。 後門不是黑客的第一步。 通常是第二步。 黑客通常會在第三方插件或腳本中發現一個漏洞,然後利用這些漏洞來上傳後門。 提示:TimThumb hack。 雖然這可能是各種各樣的事情。 例如,編碼不正確的插件可能會允許用戶特權升級。 如果您的網站有開放註冊,則黑客可以免費註冊。 利用一項功能來獲得更多特權(然後允許他們上載文件)。 在其他情況下,很可能是您的憑據已被洩露。 也可能是您使用了不良的託管服務提供商。 請參閱我們推薦的虛擬主機列表。

如何查找和清理後門?

現在,您知道什麼是後門,以及在哪裡可以找到它。 您需要開始尋找它。 清理它就像刪除文件或代碼一樣容易。 但是,困難的部分是找到它。 您可以從以下惡意軟件掃描程序WordPress插件之一開始。 在這些當中,我們建議使用Sucuri(是的,要付費)。

您也可以使用漏洞利用掃描程序,但請記住,插件中也使用了base64和eval代碼。 因此,有時它將返回許多誤報。 如果您不是插件的開發人員,那麼您真的很難知道在數千行代碼中哪個代碼不在其位置。 你能做的最好的事情是 刪除您的插件目錄,然後從頭開始重新安裝插件。 是的,除非您有很多時間花,否則這是您可以確定的唯一方法。

搜索上傳目錄

其中一個掃描儀插件會在上載文件夾中找到惡意文件。 但是,如果您熟悉SSH,則只需編寫以下命令:

find uploads -name "*.php" -print

沒有充分的理由將.php文件放在您的上載文件夾中。 在大多數情況下,該文件夾是為媒體文件設計的。 如果其中存在.php文件,則需要執行該操作。

刪除不活動的主題

正如我們上面提到的,經常將非活動主題作為目標。 最好的辦法是刪除它們(是的,其中包括默認主題和經典主題)。 但是,等等,我沒有檢查後門是否在那裡。 如果是這樣,那麼現在不復存在了。 您只是節省了看時間,而且消除了額外的攻擊點。

.htaccess文件

有時,重定向代碼被添加到那裡。 只需刪除文件,它就會重新創建自己。 如果不是,請轉到WordPress管理面板。 設置»永久鏈接。 單擊那裡的保存按鈕。 它將重新創建.htaccess文件。

wp-config.php文件

將此文件與默認的wp-config-sample.php文件進行比較。 如果發現不適當的地方,請擺脫它。

數據庫掃描漏洞和垃圾郵件

聰明的黑客永遠不會只有一個安全的地方。 他們創造了無數。 針對充滿數據的數據庫是一個很簡單的技巧。 他們可以將不良的PHP函數,新的管理帳戶,SPAM鏈接等存儲在數據庫中。 是的,有時您不會在用戶頁面上看到admin用戶。 您將看到有3個用戶,而您只能看到2個用戶。

如果您不知道使用SQL做什麼,那麼您可能想讓這些掃描儀之一為您完成工作。 漏洞利用掃描程序插件或Sucuri(付費版本)都可以解決此問題。

認為您已經清潔了嗎? 再想一想!

好了,駭客消失了。 ew 等一下,不要只是放鬆一下。 以隱身模式打開瀏覽器,查看黑客是否再次出現。 有時,這些黑客很聰明。 他們不會向登錄用戶顯示該黑客。 只有註銷的用戶才能看到它。 或者更好的辦法是,嘗試將瀏覽器的用戶代理更改為Google。 有時,黑客只想針對搜索引擎。 如果一切看起來不錯,那麼您就很好了。

僅供參考:如果您想100%確保沒有黑客入侵,請刪除您的網站。 並將其恢復到您不知道該駭客的位置。 這可能不是每個人的選擇,因此您必須生活在邊緣。

未來如何防止黑客入侵?

我們的第一建議是保持強大的備份(VaultPress或BackupBuddy)並開始使用監視服務。 就像我們之前說的,當您做大量其他事情時,您可能無法監視站點上的所有內容。 這就是為什麼我們使用Sucuri。 聽起來我們正在推廣它們。 但是我們不是。 是的,我們確實會從每個註冊Sucuri的人那裡得到一個會員佣金,但這不是我們推薦它的原因。 我們只推薦我們使用的優質產品。 諸如CNN,今日美國,PC World,TechCrunch,TheNextWeb等主要出版物也推薦這些人。 這是因為他們擅長於自己的工作。

閱讀有關使用Sucuri改善WordPress安全性的5個原因的文章

您還可以做些其他事情:

  1. 使用強密碼–在用戶上強密碼。 開始使用密碼管理實用程序,如1Password。
  2. 兩步驗證–如果您的密碼被盜,用戶仍然需要從您的手機獲得驗證碼。
  3. 限制登錄嘗試–通過此插件,您可以在X次失敗的登錄嘗試後將用戶鎖定。
  4. 禁用主題和插件編輯器–可以防止用戶升級問題。 即使升級了用戶的權限,他們也無法使用WP-Admin修改您的主題或插件。
  5. 密碼保護WP-Admin –您可以用密碼保護整個目錄。 您還可以通過IP限制訪問。
  6. 在某些WordPress目錄中禁用PHP執行–這將在您選擇的上載目錄和其他目錄中禁用PHP執行。 基本上,即使有人能夠將文件上傳到您的上載文件夾中,他們也將無法執行。
  7. 保持更新 –運行最新版本的WordPress,併升級您的插件。

最後,在安全性上不要便宜。 我們總是說最好的安全措施是備份。 請保持您網站的良好定期備份。 大多數託管公司不為您這樣做。 開始使用可靠的解決方案,如BackupBuddy或VaultPress。 這樣一來,如果您遭到黑客入侵,便始終擁有一個還原點。 另外,如果可以的話,只需獲得Sucuri並省去所有麻煩。 他們將監視您的網站,並在您遭到黑客入侵時對其進行清理。 如果您獲得5個網站計劃,則每個網站每個月的費用為$ 3。

希望本文對您有所幫助。 如果您要添加任何內容,請隨時在下面發表評論 :)