隽永东方设计工作室
Eastern Design Studio Menu

如何在一个被黑的WordPress站点中找到后门并且修复它

1 星2 星3 星4 星5 星
(1 票, 评分: 5.00 总分 5)  

最近一段时间,我们协助很多用WordPress建站的朋友修复了站点的恶意代码,并且提升了站点安全性,很多时候他们找到我们之前基本都觉得自己已经清除了恶意代码,但是事实证明,一段时间以后站点再次被黑,说明他们清除得不够彻底,或者说清除的方法不够科学,本篇文章重点介绍如何正确的找到嵌入网站的后门,并且彻底永久的清除它。

什么是后门?

后门就是一种能够在不被发觉的情况下瞧瞧的绕过正常的服务器验证然后获得服务器权限的恶意程序代码,大部分聪明的黑客都喜欢上传后门程序,这样可以让他们即使在WordPress站点升级到最新版本以后也能很轻易的重新获取服务器权限,因为一般类似的后门程序隐藏在了不被升级所影响的地方。

一些后门程序可以很轻松的创建隐藏的后台管理员用户,而一些更复杂的后门程序允许黑客通过浏览器执行任意PHP代码,或者通过服务器发送垃圾邮件,执行SQL查询,甚至其他任何他们想做的事情。

这些后门程序一般隐藏在哪里呢?

针对WordPress的后门程序一般隐藏在如下几种路径:

  1. 模版文件 – 当然很多情况下不会在你当前使用的模版文件里边,而是一些为启用的模版文件里边,这样具有更大的隐蔽性,这样这些后门程序将在任何一次的WordPress版本升级中存活下来,因此为什么我们在之前的安全教程里边要求大家删除任何没启用的模版目录和插件目录。
  2. 插件 – 插件作为一个后门程序很好的载体有如下三个原因:1,好多用户很少去关注插件文件情况;2,他们也不习惯于去升级插件;3,有些用户为了某些特定的功能安装了一些写得并不完善的插件,也给黑客留下了很大的安全缺口可利用。
  3. Uploads 目录 – 好多WordPress博客主很少去关注Uploads目录,随着站点文章数日益增长,Uploads目录也日益庞大,里边有数以千万计的文件夹和图片文件,而且这个目录一般都是给予了最高的777权限,黑客就很容易的在里边某个子文件夹里边隐藏一个后门程序,而很难被发现。
  4. wp-config.php文件 – wp-config.php文件也是一个最容易被黑客利用的文件。
  5. /wp-includes 文件夹 – /wp-includes/ 文件夹也是一个很容易被黑客利用的地方。

在各种各样的后门程序里边,后门程序经常被伪装成正常的WordPress文件以逃避清除。

举例说明:在一个我们清除的站点中,后门程序被放置在了wp-includes文件夹,取名为wp-user.php,事实上这个文件并不是真实的WordPress文件,真实的文件是user.php,另外一个站点中我们在Uploads目录中发现了一个hello.php,被伪装成了WordPress网站默认存在的一个插件Hello Dolly插件,但是该文件位置应该是在/wp-content/plugins而不是Uploads目录。

另外后门程序也可以被命名为诸如 wp-content.old.tmp, data.php, php5.php, 或者其他任何一个文件名,它有时候并不以.php为后缀,因为它里边已经包含了php代码,也可以以.zip为后缀,在大多数情况下这些文件被base64位加密过。

看到这里,你是否开始觉得WordPress并不是一个安全的CMS了?那么你错了,在一个默认干净的WordPress结构里边是没有任何安全隐患的,类似的安全隐患都是由不安全的模版文件或者插件文件造成或者不安全的服务器设置等造成的。

如何找到并清除这些后门程序?

至此我们已经知道了后门程序一般会隐藏在哪里,那么现在开始要设法找到他们,然后清除他们像删除任何一个文件一样简单,但是难度就在于如何没有遗漏的找到他们,这里给大家介绍一款不错的恶意代码扫描软件,当然是收费的,大家可以有个参考,Sucuri

你也可以使用 Exploit Scanner插件来扫描。

搜索 Uploads 目录

如果你对SSH命令行熟悉的话,可以通过SSH登陆进去,然后执行以下命令行:

通过以上命令行扫描出任何.php的文件都是可疑文件,因为Uploads目录不应该有任何.php的文件存在,所以尽管删除这些可疑的文件就是了。

删除任何没启用的模版文件

.htaccess 文件

有时候一些跳转代码被加入到了.htaccess文件,仅仅删除那些后门程序文件并没有用,一会就通过.htaccess文件重建出来了,因此需要在这个文件中彻底清除不该存在的代码。

wp-config.php 文件

将这个文件与 wp-config-sample.php 作对比,删除任何除了自己确认有用的多余的代码。

数据库扫描

厉害的黑客一般都会用多种方式来隐藏他们的行踪,而数据库则是一个非常好的场所,他们可以存储破坏性的PHP函数,隐藏的管理员账号,恶意链接等等,当然如果你不够熟悉SQL,那么上边介绍过的Sucuri将是你不错的选择,尽管付费,但是相信恢复你被黑的站点值得这点付出。

至此你可能觉得已经彻底清除干净了,别高兴太早了,试试打开一个浏览器,确保你站点未登陆状态下打开站点看看是否恶意代码还会回来?因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身,而只对未登陆访客有效,这样好多时候让时刻在线的管理员无处查找。

将来如何彻底防止类似的后门程序?

第一个建议就是勤做备份,推荐使用这款软件 VaultPress,然后启用一款扫描服务,类似上文我们推荐过的Sucuri。



       


  售前在线询价单
  全网营销套餐
  隽永东方学院