今天发现博客有一条垃圾评论,内容很奇怪
评论内容结构是这样的
<!--mfunc eval(base64加密串); --><!--/mfunc--> |
解密base64之后发现恶意代码通过fopen fwrite fclose
向 dirname($_SERVER['SCRIPT_FILENAME']) . '/' . 'wp-includes/etelan.php';
写入了另一串base64加密的执行命令,显而易见写入的肯定是BackDoor之类的内容
谷歌之后知道mfunc
是W3 Total Cache/WP Super Cache
插件提供的可以在正文内容执行PHP命令的标签,那么这个恶意代码就是针对W3 Total Cache/WP Super Cache
插件的,入侵者肯定是批量发送垃圾留言,然后再检测wp-includes/etelan.php
返回是404还是200,如果执行成功将直接获取WebShell进而达到控制服务器的目的.
这时SAE的优势就明显显示出来了,因为SAE本身没有I/O权限,所以不可能成功执行写入文件的操作,据目前了解的情况来看最新版的W3 Total Cache/WP Super Cache
已经修补了这个漏洞,但是既然有人依然在群发就说明仍然可以获取到新的WebShell.
攻击针对目标
1.Wordpress有写权限(除了非常特殊的空间一般都有)
2.W3 Total Cache/WP Super Cache插件不是最新版
如果你符合以上两点,马上去升级插件,并检查评论中是否有如上恶意代码,如果已经不幸中招,建议参考Wordpress迁移的教程,清空所有文件重新安装.
同学你好帅~
用的是Hyper Cache
不知道会不会有恶意代码
Hyper Cache没有影响