事主前言:我員工的後台帳號又被登入改密碼了,還被裝了外掛塞了一堆網站。
這些還好,我已經全檔案刪除重新安裝WordPress、資料庫、外掛、佈景、權限改740,半天就好了。維持沒幾天網站500,因為檔案被刪了,這我就覺得很奇怪,最後一個log是在02:14登入/wp-login.php ,所以沒有任何登入後台的log,但權限全部變成755,然後/wp-admin檔案被刪掉了幾個,雖然只花10幾分鐘就把網站救回來了,但是不明白為什麼可以刪除我主機裡面的檔案,這感覺也不是2FA可以解決的事情
個人解決過的事件來源
- 外掛漏洞。直接 POST PAYLOAD 後門或程式。
- 帳密外漏。登入後用該帳密上傳外掛或後門
- 後門外掛可被隱藏,由後台看不到
- 後門可能放在 mu-plugins 裡。這後台也看不到
- 後門可能放在 wordpress 的任個目錄裡。且檔名會長的像 wordpress 的命名方式
額外問題
當 WordPress 被攻破後該主機也有可能被 rootkit 攻破。之後取得 root 權限後上傳後門的 service 並設定開機自動啟動。後門可能不只一個,自動啟動的後門程式的 service 也有可能藏在正常的 service 檔裡。php.ini 也有可能被放入異常程式。
基本處理方式
- 無網路管理者且自已本身不懂:建議付費請人處理。如真要自已處理。個人建議除資料庫跟 upload 目錄下的圖檔外其它都重建。但也要確認 upload 的每個子目錄沒有 異常的 php 程式。基本步驟大致如下:1 重建全新主機。2 安裝全新 wordpress 並把外掛跟主機由官方方式下載或安裝。3 倒回資料庫跟 圖片。
- 會網路者想增加實力:先確認主機有沒有被加入後門程式或修改主機重要檔案。通常要看一下 systemd 及查一下最近時間被修改及增加的檔案。我過往是查檔建立時間及 systemctl status 及每個 systemd 的程式是否有被修改。另外 php.ini 也要看。不過我還是建議重建主機。通常漏了一項沒查到刪掉對方很快又會出現。
網路建議作法之我的看法
- 離線處理。除非網站是大站且正在被 Black SEO 中。或者是文章會被自動上黃睹廣告。不然個人感覺還好。也可建一個網站維護中的網頁也可不一定要全部下來。
- 更改密碼。只在於密碼漏出有效。但其實應該要去後台登出所有的個人的所有裝置
- 掃描和清除惡意代碼。個人建議就就保留資料庫跟圖片,別浪費時間掃,沒用。
- 備份網站。都被駭了才備份。正常是要拿乾淨的備份回復。但如果連作業系統也被駭此時用乾淨的備份回復會無效
- 安裝安全插件。效力有限。但會讓你的 wordpress 變慢
- 使用強密碼。wordpress 被駭通常是外掛/主題漏洞。密碼漏出少。但用強密碼可減少被暴力破解的可能
個人建議的防護作法
- 限制 wp-login 可被執行的 IP。防密碼被暴力破解及限制登入來源
- 限制 plugin-install.php 。限制特定的 IP 才可安裝外掛
- 限制 theme-install.php 限制特定的 IP 才可安裝主題
- 全部自動更新外掛跟主題
- 寫支小程式去掃 web log . 邏輯基本為副檔名為 php 且 http code 為 200 的程式名字再排除 wordpress 的合法檔名,得到的就是異常執行的 php 程式。用 discord 或 telgram 通知。
- 主機的 ssh 要限制登入來源。或根本設定只能用 key 登入。
- 限制 mu-plugins 的寫入權限。只有 root 才可以寫。
