WordPress網站清除後門Reval.C記錄

國慶假期網站被植的惡意軟體是PHP/reval.C.3102，奮鬥了幾天終於清理乾淨。以下是這次攻擊事件的處理心得。

1. 處理步驟

1. Wordfence Security外掛幫了很大的忙，它能比對WordPress資料夾裡的核心檔案是否有被修改，或是系統資料夾裡多出了不應該存在的檔案，掃出的有害檔案可直接刪除。它有付費的版本，不過免費版應該就夠用
2. 一開始時cPanel與FTP的密碼也被改掉，幸好WordPress後台仍能登入，緊急安裝Bit File Manager外掛來瀏覽、修改與刪除檔案
3. 掃描到的檔案都刪除後發現惡意檔案wp-admin/app.php與wp-admin/cache.php刪除後會立即產生出來，一開始懷疑是WordPress的排程有問題，因此安裝了Advanced Cron Manager，將可疑的排程逐一刪除
4. WordPress可疑排程刪除後，app.php與cache.php仍然自動生成，又想會否是別的網站造成的，修改各網站的/wp-config.php，將資料庫連線的資料改成無法正確連線的內容
5. 查看使用者，將可疑的帳號刪除，並修改密碼
6. 狀況依舊，最終在cPanel的Cron Job裡找到產生惡意檔案的排程，刪除後惡意檔案的問題宣告解決

2. 建議事項

1. 將整個網站備份下載到本地，方便病毒掃描與比對檔案 (cPanel備份後再用FTP下載)
2. 變更所有帳號密碼，將之改成高強度密碼
3. Wordfence Security能啟用密碼2FA驗證，防火牆也增加Login的IP限制

希望這是最後一次網站出狀況了，真是太耗時間、精力了。

＃＃

您可能也會有興趣的類似文章

• WordPress網站遭植後門網頁 😡 (0則留言, 2022/08/12)
• WordPress網站升級紀錄 (0則留言, 2022/08/16)
• WordPress佈景主題中文化的步驟 (0則留言, 2022/08/29)
• WordPress.com將出售內容資料… (0則留言, 2024/02/29)
• WordPress網站改用新佈景主題：Hueman (0則留言, 2022/08/27)
• Blog網站支援https (0則留言, 2022/08/01)
• Step by Step安裝WordPress 3.0與啟用 Multi-Site多站點功能 (20則留言, 2010/07/10)
• [Obs＃113] Obsidian展示程式碼區塊的好工具：HK Code block外掛 (2則留言, 2023/02/11)
• [Obs＃114] 取代Obsidian核心外掛的替代性外掛：Better Commander、Another Quick Switcher、Alternate File Tree、Quiet Outline (0則留言, 2023/02/20)
• 在WordPress裡測試PHP指令的方法 (1則留言, 2010/06/26)
• WordPress 3.0與PHP 5的時區問題 (1則留言, 2010/06/24)
• 自製WordPress-mu 2.7的繁體中文語言檔[修訂] (10則留言, 2009/02/09)
• [Windows] 比對檔案時間並拷貝較新檔案的命令行作法 (0則留言, 2023/02/10)
• [WordPress] 用外掛把後台的垂直功能表變成水平功能表 (4則留言, 2008/12/11)
• [WordPress] 在插頁寫PHP的外掛：EXEC-PHP，讓行動版網頁顯示訪客統計 (0則留言, 2009/11/22)