V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MarkZuckerberg
V2EX  ›  分享发现

一夜之间, 35000 个 WordPress 站被攻破,一场蓄谋已久的计划,可能成为 WP 史上最大事件

  •  
  •   MarkZuckerberg · 2019-08-02 12:09:55 +08:00 · 5881 次点击
    这是一个创建于 1942 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本人是博主、站长,运营数十个 WordPress 的站。

    大约一周之前,陆续地发现,几个站多了一篇状态为“ Trash ”的文章,标题均为《 Hello World 》,内容均为"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"

    当即判断该站被挂马,已被提权。

    以"Welcome to wiki This is your first post. Edit or delete it, then start blogging!"为关键字在 G 上搜了一下,前几十页的结果大多发生在今年,仅本月就出现 19 页结果。

    8 月 1 日凌晨左右,陆陆续续有站被放上后门。

    以被黑的几个站为线索,找到了一个名为 backdoorGood.txt 的列表,里面记录了 35000 个被攻破的站的信息: formfactset.org:8082/static/backdoorGood.txt

    其中,我的某些站的域名在列表里,其它的也不乏各国的 .gov 网站、我国同胞的 .cn 站。可以看到,大多数被挂马的目录,都是 /2019/07/ 或 /2019/08/ ,然而 8 月才刚刚过去不到一天。

    目前幕后黑手不明、动机不明。

    对我造成的影响不大,如果哪位 V 友感兴趣,可以深入挖掘一下。说不定有惊喜 :-)

    16 条回复    2019-08-09 17:53:13 +08:00
    Deteriorator
        1
    Deteriorator  
       2019-08-02 13:21:27 +08:00
    我靠,赶紧看看,还好没我, :-)
    julypanda
        2
    julypanda  
       2019-08-02 13:46:08 +08:00
    我的不在里面

    坐等大佬深挖
    Felldeadbird
        3
    Felldeadbird  
       2019-08-02 16:52:21 +08:00
    关注,会不会是某个插件呢?
    ylx
        4
    ylx  
       2019-08-02 17:53:38 +08:00
    我的正常,一般都跟进更新到最新版
    windirt
        5
    windirt  
       2019-08-02 19:42:57 +08:00 via iPhone
    我说昨天有个虚拟主机上的 wp 站打开 402 错误,cpanel 看内存全部耗尽,提 ticket 才恢复,没有被挂,估计是被攻击,wp 是设置了自动升级最新版的
    MarkZuckerberg
        6
    MarkZuckerberg  
    OP
       2019-08-04 10:59:14 +08:00
    感谢关注
    @Deteriorator
    @julypanda
    @Felldeadbird
    @ylx
    @windirt

    最近更新,黑客团队似乎又有了新动作,朋友的几个 WP 站也都被黑了
    ayconanw
        7
    ayconanw  
       2019-08-04 14:11:29 +08:00
    是 wordpress 的漏洞还是某个插件的漏洞 /后门?
    MarkZuckerberg
        8
    MarkZuckerberg  
    OP
       2019-08-04 19:14:50 +08:00
    @Felldeadbird
    @ayconanw
    似乎是插件。我的多个站。都是自动更新到最新版,出事是也是最新版。
    Felldeadbird
        9
    Felldeadbird  
       2019-08-04 22:34:51 +08:00
    @MarkZuckerberg 分析一下看看是那个插件? 对比一下手头没有被黑的站。WP 有一些插件漏洞真的可怕。
    ck00004
        10
    ck00004  
       2019-08-05 09:07:38 +08:00
    可以提供下日志和插件使用列表吗
    ck00004
        11
    ck00004  
       2019-08-05 09:08:41 +08:00
    我分析一下
    PHPer233
        12
    PHPer233  
       2019-08-05 18:10:25 +08:00
    我是一名网络安全工程师,楼主能否提供网站访问日志等信息方便我排查问题根源?
    luc4s
        13
    luc4s  
       2019-08-05 21:27:09 +08:00
    能否提供一些被篡改的 php 文件示例
    silencefent
        14
    silencefent  
       2019-08-06 14:19:12 +08:00
    煎蛋药丸
    smallgoogle
        15
    smallgoogle  
       2019-08-07 17:32:17 +08:00
    全都是一个下载后门。。大概内容就是,发送一个下载地址给他,然后他下载一个后门,大概是用来 DD 或者 CC 的。然后他那边主控上线。就酱紫; 里面涵盖了一个 kill 杀掉原有的马进程,然后启动新马;就是酱紫。
    comwrg
        16
    comwrg  
       2019-08-09 17:53:13 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3123 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 13:55 · PVG 21:55 · LAX 05:55 · JFK 08:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.