最近新冠病毒在全球的影响非常大,国外有人开发了 COVID-19 Coronavirus-Live Map 之类的WordPress插件,用来显示新冠病毒在全球的疫情信息。攻击者就将这类插件加上了 WP-VCD 恶意脚本然后发布到多个盗版网站进行传播,导致很多WordPress病毒感染,在后台很多会出现很多垃圾评论,且对管理者IP不显示广告。
特征
存在文件:
admin.txt class.wp.php code1.php codexc.txt wp-feed.php(192.168.0.20/192.168.0.22/192.168.0.33/192.168.0.16) wp-tmp.php wp-tmp.php wp-vcd.php derna.top/code.php class.plugin-modules.php 主题目录下function.php
感染语句
tmpcontentx function wp_temp_setupx stripos($tmpcontent, $wp_auth_key) theme_temp_setup
感染的插件
<?php if (file_exists(dirname(__FILE__) . '/class.plugin-modules.php')) include_once(dirname(__FILE__) . '/class.plugin-modules.php'); ?>
解决办法
1、查找感染特征,语句,全站服务器排查,
2、备份网站和数据,重新导入数据重装站点。
参考
https://wordpress.stackexchange.com/questions/359566/how-does-this-hacking-script-infects-the-entire-website-under-the-hosting