最近我们的同事约书亚·古德向安全研究团队上报了他正在几个网站上进行的调查，这些网站显示出相同的妥协迹象。最终的有效载荷略有不同，但攻击时间总是相同的。

攻击时间表

正如Joshua最初指出并随后由我确认的那样，链条从安装堆芯试验台插件，然后是其他附加项。以下时间线描述了我们审查的众多受损站点之一：

• 2023年1月10日17:29:49.587 UTC–核心插件上传–/wp-admin/update.php？action=上传插件
• 2023年1月10日17:29:52.270–/wp-content/plugins/core-stab/index.php
• 2023年1月11日@02:12:50.773–/wp-admin/theme-install.php？tab=上传
• 2023年1月11日@02:12:57.862–经典主题上传–/wp-content/themes/Classic/inc/index.php
• 2023年1月11日@03:37:58.870–另一个核心标签安装
• 2023年1月11日@04:15:06.014–安装新插件任务控制器，/wp-content/plugins/task-controller/index.php
• 2023年1月11日08:23:26.519–WP文件管理器的安装（不确定是否由攻击者安装，但此插件通常包含大量恶意软件）

最常见的“巧合”是，自2019年以来，参与此次攻击的所有用户的电子邮件都被列在至少一次公开密码泄漏上，这只证实了总体发现：攻击者使用泄露或泄露的帐户安装恶意软件。

您可以找到有关核心标签恶意软件如何工作的更多详细信息，以及WP安全专家的详细检测和阻止信息，通过WPScan。

如果我的网站被感染了怎么办？

如果您发现站点上安装了core-stab插件，您首先应该删除它，然后执行以下步骤：

• 更改所有管理员用户的密码，并确保使用多因素身份验证。
• 检查所有WordPress用户，删除那些你不认识的用户（尤其是管理员用户）。
• 查看未使用或未知的主题和插件，删除任何不必要或未知的内容。
• 重新安装所有插件，因为它们可能已被破坏。
• 查看您的主题，查找未经您同意添加或更改的已添加或更改文件。
• 重新安装WordPress核心文件。

最后，在Jetpack，我们努力确保您的网站免受这些类型的漏洞的影响。我们建议您为站点制定一个包含恶意文件扫描和备份的安全计划。这个Jetpack安全捆绑包是一个很好的WordPress安全选项，可以确保您的网站和访问者的安全。本产品包括实时恶意软件扫描,站点备份,Akismet的评论和表单垃圾邮件保护,暴力攻击防护等等。