修复WordPress被暗网注入漏洞的经历

4.7
(6)

今天,在某WordPress群,看到有人发布被骗的信息。原来是网站漏洞修复,没修复好,对方直接跑路了。然后,我意思性远程接手。经过一系列判断,最终发现:网站所有主题关键文件被篡改,多个插件关键文件被篡改;数据库中,网站后台地址被篡改、网站地址被篡改、新增三个管理员账号、所有文章被篡改为某网站统计js。由于网站只有文件备份,没有数据库备份。最终导致,网站无法恢复。

修复WordPress被暗网注入漏洞的经历

网站问题:访问网站自动跳转国外某链接,该链接会弹出Chrome通知选项。如果你点了同意,恭喜你,你得chrome将每隔10分钟收到五六条广告。

下面说一下整个判断过程:

网站文件

首先,看了网站文件,以及多个网站备份文件,发现都有被篡改的痕迹。随将之直接删除,继续下一步判断。判断方法为,查看文件名特殊的文件,比如index.php,看是否有被更改的痕迹。对方说2月份被黑的,基本上能判断个大概。

经过网站文件修复,发现访问网站前台跟后台,还是直接跳转国外链接。

数据库查询

接下来,利用adminer软件,登录网站数据库,进入wp_option表,发现siteurl跟home被篡改了,这就是自动访问前台跟后台自动跳转的主要原因,修改为正确地址。后台可以进入了,但过几秒,又会自动跳转。

修复WordPress被暗网注入漏洞的经历

接着发现,user表也被新增了三个用户,均为管理员。随之,将其删除,未发现网站恢复。

修复WordPress被暗网注入漏洞的经历

我几乎检查了所有数据库表,发现wp_posts表(文章数据),整个被修改,全部篡改为一个js地址,这也就是为啥会访问后台,过几秒自动跳转了国外链接。

修复WordPress被暗网注入漏洞的经历

跳转的过程,可以参考下图所示:

修复WordPress被暗网注入漏洞的经历

到这里,基本上判定无法恢复,文章等多个数据库被篡改。而且,没有任何数据库备份。

可能你无法想象,该组织在数据库中新增了一个用户,一个数据名;赫然写着:

To recover your lost databases and avoid leaking it: visit http://hn4wg4o6s5nc7763.onion/

大意上,如果你想恢复数据,请访问链接:http://hn4wg4o6s5nc7763.onion/。

修复WordPress被暗网注入漏洞的经历

到此,我告之对方无法恢复数据,毕竟没有任何数据库的备份。

上述地址是一个暗网,当我尝试用tor访问时,发现无法访问。谷歌了一下那个链接,发现有大约400多篇文章在说自己网站被该暗网入侵,并把数据库挂到了暗网售卖。

修复WordPress被暗网注入漏洞的经历

这里,我们猜测一下:对方通过SQL注入,获取了管理员权限,修改了各项链接;篡改了网站文件。

到此,文章结束。这里给各位推荐下该怎么保证服务器安全:

  • SSH端口更换,或者仅允许某ip访问SSH端口
  • 安装防火墙软件,防止被xss攻击,防止被SQL注入。
  • 数据库密码与网站密码不同,并尽量复杂化。各种数字字母字符,长度大于16位。
  • 及时备份网站,备份数据库

关于被黑后,网站的变化:

  • 访问网站,自动跳转到一个php地址,分发给各种广告地址(通过Chrome通知发送广告)
  • 如果你修复了首页地址及后台地址,随自动跳转到一个js地址,继续分发

这里,就不给出跳转后的地址了,万一你中广告呢。

共计6人评分,平均4.7

到目前为止还没有投票~

很抱歉,这篇文章对您没有用!

让我们改善这篇文章!

告诉我们我们如何改善这篇文章?

原创文章,作者:古哥,转载需经过作者授权同意,并附上原文链接:https://iymark.com/website/wordrpess-hack-tor.html

发表评论

登录后才能评论

评论列表(2条)

    本站APP
    本站APP
    分享本页
    返回顶部