受重定向注入影响的 WordPress 网站

Question

我有一个使用 Bitnami Nginx 和 WordPress 映像在 AWS 服务器上运行的网站。

https://www.athleticclubhk.com/

最近，由于恶意内容，我们在 Google 上的所有广告都停止了。奇怪的是，这一次，它比标准的受感染文件恶意软件更棘手。在隐身访问网站时，第一个也是唯一的第一个链接点击会使用以下代码重定向：

window.location.replace("https://cartoonmines.com/scount");window.location.href = "https://cartoonmines.com/scount";

这是在任何链接上注入的，但是，在检查加载的代码时检查它没有将其注入页面。

我试图寻找主题、插件、核心文件，但一无所获！

我更换并重新安装了 WordPress 核心文件，停用了所有插件，甚至更换了主题 - 问题仍然存在。我在整个根目录中找不到任何隐藏的 .htaccess 文件。

我什至使用 GREP 来尝试寻找任何可疑的东西（这里有任何线索可以提供帮助吗？）到目前为止什么都没有。

该网站仍受此影响，因此您可以轻松加载链接〜我确实使用恶意软件字节来保护自己，以防您直接打开它。

谁能帮忙？

Answer 1

重定向代码植入/wp-includes/js/wp-emoji-release.min.js。

如何确认：

• 点击内部页面时观察 cookie，正在设置一个新的 cookie 用于跟踪首次点击，名为 ht_rr
• 在本地保存完整的网页并尝试加载它，并检查 Chrome 开发工具，您会看到在控制台选项卡中它抱怨此 Javascript 文件试图设置上述 cookie

虽然删除文件的临时解决方案会在一段时间内解决问题...

没有理由不设置适当的服务器堆栈。 Bitnami 或其他“伟大的堆栈”不会在安全方面削减它。它们的存在是为了“快速”，但没有“质量”设置，当然，它永远不会安全。

文件以某种方式创建/具有写入权限。这表明大多数时候设置存在问题。除非您使用了一些无效的插件或来自不良来源的插件。

再一次，由于网站本质上是“pwned”，删除 Javascript 文件并不意味着彻底清除。为了将内容保持在安全状态，我建议在具有严格 PHP-FPM 权限（也称为“锁定”chmod）的干净服务器环境中设置内容，并查找写入错误以查找受感染的 PHP 文件。

查看有关安全 NGINX/PHP-FPM 设置问题的一些指南：

• NGINX and PHP-FPM. What my permissions should be?
• Best practice secure NGINX configuration for WordPress
• NGINX Security Headers, the right way

Answer 2

1. 禁用插件并再次检查。
2. 更改数据库用户名和密码。
3. 请托管经理检查主机。