我遇到了一个让我陷入困境的问题:我创建了一个Wordpress博客,使用Gantry框架来布局几个不同的小部件和插件。在FF,Safari和Chrome中一切正常,但尝试用IE 8打开网站浏览器崩溃,或者在最好的情况下,我收到一条消息,标签已关闭并因错误而重新打开;之后网站加载正常。我试着找出在打开页面期间发生了什么,但是IE的调试面板没有指出任何错误! 有没有人知道问题可能是什么?
答案 0 :(得分:0)
我终于找到了问题:网站已被黑了!
我注意到在奇怪的日期和时间修改了index.php和wp-blog-header.php个文件。下载我发现它们已被入侵的两个文件:添加了一整段不可读的代码。上传原始PHP文件解决了上述问题。
答案 1 :(得分:0)
我今天遇到了同样的攻击,所以我调查了一下:
注入是通过其中一个插件中的漏洞完成的,最有可能是通过过时的contact-form-7插件。检查你的wp-content / plugins目录中是否有这个文件夹 - 即使它没有在Wordpress中激活,它的存在也存在潜在的安全威胁,因为攻击者可以使用插件故障文件的直接URL来访问它
修补漏洞:如果您使用此插件,请将其更新为不易受攻击的最新版本。如果你不使用它并且只是让它停用(就像我一样),你可以删除它。
防止人们直接访问您的插件也是一个好主意。您可以使用以下内容创建wp-content / plugins / .htaccess:
<Files *.php>
deny from all
</Files>
这可能不适用于每个配置,但通常插件只能在代码中访问,而不能通过HTTP调用访问,因此不会损害访问者的体验。
恢复您的网站:如果您没有备份* .php文件以通过覆盖当前文件来恢复它们,则需要搜索包含特定于恶意代码,例如“eva1fYlbakBcVSir”。然后你需要编辑所有这些文件 - 对于每个文件,从它的末尾删除一个长行。
或者如果你精通命令行,比如perl,你可以构建一个正则表达式来为你做这项工作。
攻击的目的是什么?显然,这些代码段中添加了一些Java插件添加到您网站的页面。添加的插件被认为如下:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fCVE-2010-0840.KM&threatid=2147649278
但是,我还没有完全破译注入的代码 - 它非常混乱,逆向工程很难。所以我无法确定除了向访问者展示Java插件之外,漏洞利用除了读取用户密码或删除一些文件(不太可能,但可能)之外没有任何作用。
我也找不到任何有关这方面的信息,看起来没人能完全追查后果。
如果您了解更多,请分享。