У меня есть странный случай взлома одного из моих сайтов WordPress. Это небольшой сайт, в основном показывает 5 сообщений в блогах о том, будет ли офис открыт / закрыт. Это не слишком сложно или что-то в этом роде, но оно было взломано и теперь перенаправляет на некоторые сайты со спамом / вредоносным ПО.
В основном сайт загружает страницы и примерно через 3 секунды выполняет перенаправление. Я проверил header.php, index, footer и не вижу ничего очевидного, к тому же они не были указаны как изменяемые. Еще одна странность: я запустил команду linux для поиска файлов, которые были изменены за последние 10 дней, и вернулись только те, которых я коснулся, проверяя эти перенаправления и выполняя: wq с vi. Не похоже, что что-то на стороне php / backend выполняет это перенаправление.
Он размещен на сервере apache linux. Могу ли я где-нибудь еще проверить, выполняется ли это перенаправление? Если что-то вызывает это в файлах php, не будет ли он выполнять перенаправление немедленно, вместо того, чтобы загружать сайт? Нет .htaccess, и я не вижу ничего очевидного в файле apache.conf.
Покопавшись, я обнаружил, что на всех страницах есть несколько инъекций скриптов. Сценарий перенаправляет на страницу, где есть вредоносный контент. Однако контроль версий wordpress не сообщает, что эти страницы редактировались. В нем нет ничего исторического, что похоже на то, что это произошло. Возможно ли, что что-то было изменено в wp-admin для внедрения этих скриптов в редактор? Или, если вы вносите изменения в базу данных wordpress для страницы, не создает ли она новую версию? Где мне это проверить? Какие разрешения должны быть у моего сайта на wordpress?
Спасибо за помощь!
Если ваш сервер был скомпрометирован, злоумышленник вполне может обойти любые средства контроля версий на уровне приложения через серверную часть, включая встроенные версии страниц Wordpress и временные метки. Также можно подделать дату изменения файлов, как указано здесь: https://askubuntu.com/questions/62492/how-can-i-change-the-date-modified-created-of-a-file.
Существует множество различных способов создания вредоносного ПО для внедрения скриптов перенаправления на каждую подобную страницу, поэтому без анализа конкретной вредоносной программы невозможно точно сказать, как она была создана. Какой-нибудь простой JavaScript полностью сможет определить, вошли ли вы в систему через панель управления или нет, и запустит только код перенаправления на общедоступном сайте.
Я бы рекомендовал обратиться к этим шагам для ответа на взломанный сервер: Как мне поступить с взломанным сервером?