今天刚刚在整理书签时发现19年的客户网站出现问题还不知情,这个站大概看了一眼应该是存在WordPress版本过低被已知漏洞进行利用出现大面积的国外广告推广页面。打开页面发现出现日期最早2021年为6月1号,今天早上开始做简单处理顺带记录一下。
先登陆服务器看看宝塔面板(账号密码都没改。。。)然后各项正常,停掉PHP,进行检查,安装免费的防护墙,检查完开启PHP,登陆网站后台看看。先删了100+垃圾留言,然后删了shell的漏洞利用插件,真TM不少。
未启动的插件看看,不用想这个也是利用到的东西,以及一些其他不知名又是外国佬的插件删除。
垃圾内容删除,PHP7.2升级到8.0。观察了一会,没问题了。完事
///////////////分割线
接上一次,又发现外国佬的广告。这次是小费的,所以要搞好,又怀念黑家小无常大佬当初教《网站攻击流程日志分析溯源》的日子了。公开课视频:https://space.bilibili.com/244294834 大佬微信:CYWLHL
我记得最早的一篇是6月1号的,虽然当时删除了内容,但是没有看目录,这里对其中一个目录进行日志分析。
通过日志分析来还原事情经过:IP地址,操作时间,请求路径,访问来源,UA信息,进一步查找漏洞来源。
网站日志没有切割,好大!?
第一次出现也是在2020年8月9号,看来很早就潜伏了。上一个步骤被宝塔拦截,下一步就有了些.jsp文件,短时间内同大量IP请求,应该是被扫了,顺着IP找开始的第一步看xmlrpc.php 漏洞利用造成的。
这个xmlrpc是WordPress采用了XML-RPC接口.并且通过内置函数WordPress API实现了该接口内容,从3.5版本开始,XML-RPC功能默认开启。一般情况下,wordpress的管理后台都会设置账号登录失败次数限制,因此,可以通过xmlprc.php接口来进行爆破。通常会使用wp.getUserBlogs、wp.getCategories和metaWeblog.getUsersBlogs这个方法来进行爆破,也可以使用其他的方法。解决WordPress网站被利用xmlrpc.php文件攻击问题是屏蔽 XML-RPC (pingback) 的功能
从这个漏洞开始2020年出现到这期间不停的都有大量IP进行漏洞扫描被扫传文件,到2021年6月1日出现问题,哎,无语了,这要查路径要猴年马月哦,经过同意客户站点以后托管到我这里。
问题解决办法就是用All in one WP Migration插件进行整站数据打包导出,让网站像导入演示数据一样方便,这样做得好处是避免了一些网站配置失效和木马文件得打包(这样应该没错),然后装新版干净得系统,通过插件导入数据即可。