论坛
主页 / 修复WordPress / 对文件“temp-crawl.php”的新攻击
(尼亚加拉鱼)
6年前
可能新黑客/恶意软件的通知:
今天我们的网站“重启”,显示安装页面。
在wordpress根目录中出现了一个新文件“temp-crawl.php”,其代码为:
[请不要发布黑客代码。谢谢。]
这似乎是获取提供的URL参数'q'的内容,将其写入新文件“tempcrawl”,执行该文件,然后删除该文件。
我删除了temp-crawl.php,但不知道漏洞在哪里。
目前“temp-crawl.php”的谷歌搜索结果为零,因此这可能是新的(?)
(@t-p)
仔细遵循本指南。完成后,您可能希望实现一些(如果不是全部)建议的安全措施.
如果你无法成功清理你的网站,有一些声誉良好的组织可以为你清理网站。一下子,脑海中浮现出的两个名字是Sucuri和Wordfense。
(@dennishermannsen)
我们有大约10个客户有同样的体验。在过去的几个小时里,他们都注意到了。
这个很难看。
(@quttera)
尝试调查网站访问日志以查找用于访问temp-crawl.php的IP。
对来自此IP的所有以前的HTTP请求的调查可能会指向最初被利用的文件或允许删除此代码的漏洞。
它是复印机:https://db.threatpress.com/vulnerability/duplicator/wordpress-duplicator-plugin1-2-40-仲裁-代码-执行-脆弱性
(@te_taipo)
@夸特拉你能列出你正在使用的第三方插件吗?
(@jillctc11)
我刚刚处理了这个问题…wp-config文件被重命名为bad.wp-config,我重命名并访问了它。数据库设置被更改,数据库名称和密码现在以“FCK”结尾。今天早上8:52出现了几个文件(wp-crawl.php和wp-crawl.php.1以及installer.log.txt和wp-snapshots)。清理了站点,重置了用户,更改了salt键,等等…
@te_taipo公司这是我们在设置中使用的插件列表。
这些不是实时网站,主要用于我们的安全插件(quttera-web-malware-scanner)的漏洞验证和测试/回归。不确定此列表有何用处……但现在可以:
ajax搜索列表秋水仙碱一体式seo-pack英国广播公司佛女联系方式-7复印机google-analytics-dashboard-for-wpgoogle-analytics-for-wordpress喷气背包ml-滑块quttera-web-malware-scanner再生缩略图简单的社交按钮主题-检查上升气流+w3-总缓存woocommerce公司wp-控制wp稳压器wp-超级缓存yeloni-free-exit-popup
看来问题出在复印机上。所有这些插件都是最新版本吗,尤其是复印机
谢谢@丹尼舍曼森表明该漏洞存在于Duplicator插件中。
通过完成WP设置向导步骤并使用相同(现有)数据库的凭据,我使我们的站点重新联机。安装程序随后显示“..已安装..”,该站点再次公开。这只是一个临时修复,我将在不使用Duplicator插件的情况下重新安装WP以清除它。
(@wizzard_)
如果你没有积极使用Duplicator,我建议你删除它,并删除它创建的所有文件。如果你以后需要它,你可以随时重新安装插件。
我倾向于同意,在网站上浏览一些安装程序代码是不安全的。
(@calvin_42)
仅供参考,我的网站上也出现了同样的问题。
wp-content/uploads中上传的php文件使用了脚本https://pastbin.com/raw/jmxnY3Rk(https://pastebin.com/raw)它通过MySQL查询在所有帖子中包含JS脚本。
5年12个月前
@迪拉克3000,
请不要跳到其他话题。如果已经发布的故障排除对您没有任何影响,那么根据论坛欢迎,请发布自己的主题.
您的帖子已存档。
(@dirac3000)
5年11个月前
我对一个朋友网站也有类似的问题。最后,我编写了一个python脚本来清理被恶意软件污染的大多数文件。我把剧本贴在了github以防有人需要。