首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

一夜之间, 35000 个 WordPress 站被攻破,一场蓄谋已久的计划,可能成为 WP 史上最大事件

  •  
  •   MarkZuckerberg · 52 天前 · 3375 次点击
    这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本人是博主、站长,运营数十个 WordPress 的站。

    大约一周之前,陆续地发现,几个站多了一篇状态为“ Trash ”的文章,标题均为《 Hello World 》,内容均为"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"

    当即判断该站被挂马,已被提权。

    以"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"为关键字在 G 上搜了一下,前几十页的结果大多发生在今年,仅本月就出现 19 页结果。

    8 月 1 日凌晨左右,陆陆续续有站被放上后门。

    以被黑的几个站为线索,找到了一个名为 backdoorGood.txt 的列表,里面记录了 35000 个被攻破的站的信息: formfactset.org:8082/static/backdoorGood.txt

    其中,我的某些站的域名在列表里,其它的也不乏各国的 .gov 网站、我国同胞的 .cn 站。可以看到,大多数被挂马的目录,都是 /2019/07/ 或 /2019/08/ ,然而 8 月才刚刚过去不到一天。

    目前幕后黑手不明、动机不明。

    对我造成的影响不大,如果哪位 V 友感兴趣,可以深入挖掘一下。说不定有惊喜 :-)

    16 回复  |  直到 2019-08-09 17:53:13 +08:00
        1
    Deteriorator   52 天前
    我靠,赶紧看看,还好没我, :-)
        2
    julypanda   52 天前
    我的不在里面

    坐等大佬深挖
        3
    Felldeadbird   52 天前
    关注,会不会是某个插件呢?
        4
    ylx   52 天前
    我的正常,一般都跟进更新到最新版
        5
    windirt   51 天前 via iPhone
    我说昨天有个虚拟主机上的 wp 站打开 402 错误,cpanel 看内存全部耗尽,提 ticket 才恢复,没有被挂,估计是被攻击,wp 是设置了自动升级最新版的
        6
    MarkZuckerberg   50 天前
    感谢关注
    @Deteriorator
    @julypanda
    @Felldeadbird
    @ylx
    @windirt

    最近更新,黑客团队似乎又有了新动作,朋友的几个 WP 站也都被黑了
        7
    ayconanw   50 天前
    是 wordpress 的漏洞还是某个插件的漏洞 /后门?
        8
    MarkZuckerberg   49 天前
    @Felldeadbird
    @ayconanw
    似乎是插件。我的多个站。都是自动更新到最新版,出事是也是最新版。
        9
    Felldeadbird   49 天前
    @MarkZuckerberg 分析一下看看是那个插件? 对比一下手头没有被黑的站。WP 有一些插件漏洞真的可怕。
        10
    ck00004   49 天前
    可以提供下日志和插件使用列表吗
        11
    ck00004   49 天前
    我分析一下
        12
    PHPer233   49 天前
    我是一名网络安全工程师,楼主能否提供网站访问日志等信息方便我排查问题根源?
        13
    luc4s   48 天前
    能否提供一些被篡改的 php 文件示例
        14
    silencefent   48 天前
    煎蛋药丸
        15
    smallgoogle   47 天前
    全都是一个下载后门。。大概内容就是,发送一个下载地址给他,然后他下载一个后门,大概是用来 DD 或者 CC 的。然后他那边主控上线。就酱紫; 里面涵盖了一个 kill 杀掉原有的马进程,然后启动新马;就是酱紫。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2929 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 10:57 · PVG 18:57 · LAX 03:57 · JFK 06:57
    ♥ Do have faith in what you're doing.