这个后门文件在服务器网站目录1个月了,一直没去处理,因为没注意过阿里云的通知,又想到那台服务器下,好像没重要的网站,开始就无视安全警告提醒了。

一、Webshell后门文件生成

在看提示的Webshell后门文件,发现生成时间是:2019年12月3日。

阿里云总提示200多次,但并非都是这个问题,所以就用了Wordfence安全插件在后台扫描,扫描出来了170个左右文件,是这个Webshell后门PHP文件,然后还有30多个系统css文件被串改。

由于这个网站也不太重要,经常用来测试一些Wordpress开心版主题或者插件,基本都是当时测试之后,就卸载了,所以没办法知道具体是哪款主题导致的了,但肯定是国外的主题,因为我们只测试国外渠道的开心版主题和插件。

后门生成原因:在激活开心版主题的时候,主题的后门代码就自动生成了170多个后门PHP文件,具体就是根据目录名称,生成对应的后门文件。简单说就是像蠕虫病毒一样,感染了整个网站的文件夹目录。

比如:/wp-admin/css/文件夹,就会在里面生成应该css.php文件

这些生成的PHP文件,都是同一段代码,还特么是开源的...都不加下密。

代码片段

二、处理后门文件

1、用Wordfence扫描出来之后,就批量删掉这些文件,但是系统css不能删,所以就去官网下载wordpress,覆盖下就行,和手动升级Wordpress的方法一样,这样就替换掉被串改的系统css文件了。然后再用Wordfence扫描一次,看看还有没有什么漏的文件,如果有就针对性的处理就好。

处理之后就没有后门文件了,以上提示的是用户使用了弱密码。

2、修改管理员邮箱和密码。

三、服务器网站安全基础

我们的服务器一直用的密钥登录,并不支持用ssh 密码登录,再加上服务器内的数据库地址有修改,所以这种后门对于我们服务器是没影响的,能影响的顶多就这个站点。

所以我们一定先做好服务器的安全基础,与数据库的安全隔离,如果有时候测试什么,记得删除之后,就用安全扫描下,有没有多出来的文件。

四、Webshell文件分析

所有的Webshell文件代码都是一样的,其中有两段hex2bin函数,

用echo单独输出看下

<?php
echo hex2bin("687474703a2f2f6a732e61706965732e6f72672f");
echo hex2bin("68747470733a2f2f6a732e61706965732e6f72672f6a71756572792e6d696e2e6a73");
?>

输出结果:

是一个网址和对应的js文件,这个js.apies.org跳转到了wordpress官网,当然这是一个伪装,查了下域名解析服务器位于土耳其。第一段对应代码是为了获取服务器的真实ip发送到这个网站去,第二段就是调用这个js里面到代码来操作了。

同时代码还获取网站资料传递:

整体来说,这后门还算简单,就是上传网站数据库资料这些,还没有做到锁数据库和删系统文件,当然只要服务器安全基础有了,这个也做不到这些。

顺便说下Wordpress的Webshell安全插件对于这种处理后门文件是真方便,不过我们长期使用的是WP Cerber Security,但是没扫描的功能,如果想扫描网站是否有后门文件的,可以用Wordfence Security,免费版本就可以了。

最后附上后门文件和对应网站:

https://js.apies.org/jquery.min.js

https://www.lanzous.com/i8i0olg