WordPress網站清除後門Reval.C記錄
國慶假期網站被植的惡意軟體是PHP/reval.C.3102,奮鬥了幾天終於清理乾淨。以下是這次攻擊事件的處理心得。
1. 處理步驟
- Wordfence Security外掛幫了很大的忙,它能比對WordPress資料夾裡的核心檔案是否有被修改,或是系統資料夾裡多出了不應該存在的檔案,掃出的有害檔案可直接刪除。它有付費的版本,不過免費版應該就夠用
- 一開始時cPanel與FTP的密碼也被改掉,幸好WordPress後台仍能登入,緊急安裝Bit File Manager外掛來瀏覽、修改與刪除檔案
- 掃描到的檔案都刪除後發現惡意檔案wp-admin/app.php與wp-admin/cache.php刪除後會立即產生出來,一開始懷疑是WordPress的排程有問題,因此安裝了Advanced Cron Manager,將可疑的排程逐一刪除
- WordPress可疑排程刪除後,app.php與cache.php仍然自動生成,又想會否是別的網站造成的,修改各網站的/wp-config.php,將資料庫連線的資料改成無法正確連線的內容
- 查看使用者,將可疑的帳號刪除,並修改密碼
- 狀況依舊,最終在cPanel的Cron Job裡找到產生惡意檔案的排程,刪除後惡意檔案的問題宣告解決
2. 建議事項
- 將整個網站備份下載到本地,方便病毒掃描與比對檔案 (cPanel備份後再用FTP下載)
- 變更所有帳號密碼,將之改成高強度密碼
- Wordfence Security能啟用密碼2FA驗證,防火牆也增加Login的IP限制
希望這是最後一次網站出狀況了,真是太耗時間、精力了。
##
您可能也會有興趣的類似文章
- WordPress網站遭植後門網頁 😡 (0則留言, 2022/08/12)
- WordPress網站升級紀錄 (0則留言, 2022/08/16)
- WordPress佈景主題中文化的步驟 (0則留言, 2022/08/29)
- WordPress.com將出售內容資料… (0則留言, 2024/02/29)
- WordPress網站改用新佈景主題:Hueman (0則留言, 2022/08/27)
- Blog網站支援https (0則留言, 2022/08/01)
- Step by Step安裝WordPress 3.0與啟用 Multi-Site多站點功能 (20則留言, 2010/07/10)
- [Obs#113] Obsidian展示程式碼區塊的好工具:HK Code block外掛 (2則留言, 2023/02/11)
- [Obs#114] 取代Obsidian核心外掛的替代性外掛:Better Commander、Another Quick Switcher、Alternate File Tree、Quiet Outline (0則留言, 2023/02/20)
- 在WordPress裡測試PHP指令的方法 (1則留言, 2010/06/26)
- WordPress 3.0與PHP 5的時區問題 (1則留言, 2010/06/24)
- 自製WordPress-mu 2.7的繁體中文語言檔[修訂] (10則留言, 2009/02/09)
- [Windows] 比對檔案時間並拷貝較新檔案的命令行作法 (0則留言, 2023/02/10)
- [WordPress] 用外掛把後台的垂直功能表變成水平功能表 (4則留言, 2008/12/11)
- [WordPress] 在插頁寫PHP的外掛:EXEC-PHP,讓行動版網頁顯示訪客統計 (0則留言, 2009/11/22)
Sorry, 很久沒用Google sc…