上一篇筆記 WordPress網站被入侵植入程式碼(釣魚網站)
沒想到隔天一上班同事說網站都不見了,變成全新的站....
一進目錄,不妙WordPress根目錄多了一支程式 ino.php內容如封面圖
ino.php丟給ChatGPT
這段代碼會從一個外部 URL (https://bitbucket.org/...) 請求一個文本文件的內容,然後將該內容作為 JavaScript 代碼載入並執行。這樣的操作存在嚴重的安全風險,因為你無法控制這個外部資源的內容,如果該資源被攻擊者控制,可能會導致惡意代碼被執行,從而使網站遭受攻擊。
此外,這段代碼會載入 ./wp-content/plugins/elementor-pro/assets/js/webpack-pro.runtime.min.js,這本身是一個有效的操作,但結合上述的不安全操作,可能會被攻擊者利用。
建議:
- 避免動態載入外部不受信任的資源。如果必須載入外部資源,請確保資源的來源是可信的,並且使用嚴格的安全措施,如子資源完整性(SRI)或是將代碼檢查後存儲在本地。
- 審查和控制所有外部資源的內容,確保它們不包含任何惡意代碼。
- 使用 CSP(內容安全策略) 來限制可以被載入和執行的資源。
這樣可以有效降低潛在的安全風險。
我這次的解法
- 進後台,先把目錄換名字,然後再用新的目錄重裝一次全新的WordPress
- 把舊目錄的 plugins themes plugins 複製到新站
- 把資料庫刪掉,從備份的資料庫還原回去
- 正常情況網站就回來了,接著就更新主程式及外掛,還有把同事去"生"出來的 "elementor-pro"砍掉
- 接著到根目錄執行 find . -type d ! -perm 755 -exec stat -c '%A %a %n' {} \;
有查到有些目錄是777,立即處理!
我同事是屬於不更新不會有事的派系....,這次真的不得不更新了 XD
先這樣子,近期再密切觀察囉