被黑的 Wordpress .htaccess

Question

我有一个 .htaccess 和一个名为 postfs.php 的文件的 wordpress 站点。 但是当我尝试删除它们时，它们又被写入了。 我试图删除网站上的所有文件，更改权限，检查 cron ......但无事可做。一旦我删除或编辑这些文件，它们就会出现。

文件内容如下：

.htaccess:

 <FilesMatch ".(PhP|php5|suspected|phtml|py|exe|php|asp|Php|aspx)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.$
 Order allow,deny
 Allow from all
</FilesMatch>
AddType application/x-httpd-cgi .sh
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

而 postfs.php 有这样的内容：PHP Decode

如何避免恢复这些文件？ 有没有人有过类似的经历？

Answer 1

第一步，你应该找到shell文件 （您的主机提供商可以使用 antisheller 来完成）

1.删除WordPress中未使用的主题和插件 2.登录SSH区域并运行此命令 `find /home/.../wordpres_directory -type f -name ".htaccess" -delete

3.使用此链接打开更新的页面 youdomain/tld/wp-admin/update-core.php?action=do-core-reinstall

如果您仍然看到问题，您应该执行第 2 步和第 3 步

您的服务器需要安全配置，请致电主机提供商以保护服务器

Answer 2

您必须搜索每个 .htaccess 文件并使用 FTP 客户端并将其删除。 （在我的情况下几乎有 5000 个）升级插件以解决安全问题。

Answer 3

不知道这是否仍然有效，但如果有人遇到这个。我就是这样解决这个问题的：

1. 首先将网站与我的 IP 隔离，以便我可以单独工作。
2. 删除了已安装的 WP keept wp-content。
3. 通过 FTP 更新了 WP 手册。
4. 修复/重新创建数据库。
5. 停用所有插件。
6. 禁用主题最简单的方法就是将主题文件夹上的名称更改为 _theme 而不是主题。
7. 更新所有插件。
8. 检查活动主题文件夹的更改日期。在我的 inc 文件夹中找到一个包含 index.php 和 forge.php 的文件夹。删除了那些。
9. 最后再次检查根文件夹。发现一个名为 CSS 的文件夹也将其删除，因为其中还有不属于的 php 文件。
10. 根据上述删除 htaccess 文件。
11. 重新创建了 htaccess 文件。
12. 已激活所有插件和主题。
13. 再次检查文件更改是否遗漏了任何内容。
14. 再次允许网站流量，并密切关注 access.log 中的奇怪请求。

也许对每个人都没有帮助，但这对我来说效果很好，没有留下任何痕迹。

GLHF！

Answer 4

最终......它们都不起作用。遵循此选项并继续监视您看到此问题的相应域文件夹中的 .htaccess 和 index.php 文件。

1. 不要卸载/删除 wordpress 安装。所有存储的记录都将消失。
2. 通过查找映射到域的数据库，从 MySQL 备份数据库文件
3. 现在创建一个新的子域
4. 安装映射到子域的wordpress
5. 将数据库导入新创建的数据库[针对新的 WP 实例]
6. 创建各自的视图...您必须打开 sql 文件并根据创建的视图更改用户/数据库名称并手动恢复它们
7. 完成上述所有操作后，现在打开表 wpxx_options 并使用新的子域名更新 2 条记录

8.现在去 WP 添加你之前安装的主题[不要使用新的]

9. 只安装所需的插件而不是像之前安装的那样全部安装

10. 转到 wp_content 文件夹 [从早期安装] 并获取所有媒体文件并将它们复制到 wp_content 文件夹 [1999,2000,20xx...] 文件夹是我的意思，而不是全部

11. 最后转到您的 wp-config.php 并将表前缀更改为新的 //$table_prefix = 'wpxx_'; //旧的 $table_prefix = 'wp1234_'; // 新的

我认为它应该可以工作。

已尝试删除文件并卸载所有文件，包括域和恢复.. 相同的垃圾信息在两个文件 [.htaccess 和 index.php] 中得到更新.. 所以必须按照上述步骤.. 它的工作现在..必须继续监视上述文件。希望它也对您有用..如果您有其他发现..请在此处更新

Answer 5

您可能有一个持续添加 .htaccess 文件的 cronjob，查找带有 wget 请求到 hello.turnedpro.xyz 的 cronjob。

如果您使用的是 cpanel，您可以重置您的 cpanel 帐户密码并对任何键盘记录器/恶意软件运行反恶意软件扫描。例如红线窃取程序。

Answer 6

如果文件在您删除它们后重新出现，您应该注意代码行 - 通常在 index.php 文件中 - 其中指定了时间限制或 TTL（生存时间），以及（大部分时间）很长的base64代码行。 （这些通常可以通过中间带有“等于”符号的几行较短的代码来识别。） 其工作方式是时间限制/TTL 确保所有文件都与位于另一个 url 或网络服务器缓存中的参考文件集保持一致，如果缺少一个文件，它将自动同步回来。

您可以做的一件事是删除脚本并重新启动 apache 和 php/nginx。这会清除网络服务器缓存。 之后，您可以清除 .htaccess 文件中的恶意拒绝允许规则和内容，以及可能潜伏在您的 Web 应用程序的文件和文件夹之间的其他内容。

在此处真正尝试解决实际安全问题的奖励建议：

1. 始终确保所有软件/插件/模块/主题/等都是最新的。不要错过任何安全补丁！

2. 确保更改每个提供 Web 应用程序访问权限的帐户的每个密码。 （不要忘记 FTP 帐户和后端面板等）。

3. 尝试运行恶意软件扫描（如果您有共享主机包，您可以通过安全插件执行此操作，或要求您的托管公司运行）

4. 确保没有任何用户、插件或任何其他您从未听说过且尚未安装的可能恶意组件！

5. 至少要确保检查根文件夹、所有上传文件夹和临时文件夹是否有恶意文件。

我希望这可以帮助其他有类似问题的人！

Answer 7

我也遇到了同样的问题，在我的情况下，我在一个用户下有几个 wp 站点，这对我维护站点来说非常方便，但是使清理变得更加棘手，有点像痣的情况。

恶意 .htaccess 和 index.php 在删除后都会重新生成。我所做的是查找所有带有恶意代码的 radio.php 和 about.php（很容易找到，因为它们的大小更大且不合适），并且还发现了一些名为“maint”的文件夹，其中包含带有恶意代码的文件。清除这个之后，.htaccess 和 index.php 被感染的文件不再重新生成，所以在复制新的 wp 文件后，一切都很好，并且能够正确访问 wp-admin。

在一个特定的 wp 文件夹中，即使删除了所有文件，受感染的 .htaccess 和 index.php 文件仍在重新生成，所以我所做的是删除包含 WP 安装的根文件夹并创建一个具有不同名称的新文件夹，将域名指向新文件夹后，瞧！没事！

Answer 8

今天发现一个WordPress 5.7.5被感染，整个菜单面板中所有Htaccess文件都有恶意文件的权限，然后备份一切，发现root等位置有几个名字奇怪的文件被感染，我删除了，我更改了所有密码，我下载了官方安装的 WordPress 5.7.5，我删除了 WP-admin 文件夹，我从这个 Paniel 的官方安装中发送了规范化，我可以更新所有插件，所以我做了同样的事情有了 WP-includes，我已经请求运行 find 命令的主机删除所有 htaccess 的 WP 内容，所以我确实升级到了新版本。

Answer 9

我遇到了同样的问题，杀毒软件无法检测到它，而且自动创建文件的问题与 CronJobs 无关，正如朋友所说。 事实上，每次从站点打开页面时，都会重新构建这些文件。

我已经仔细检查了问题并提供了解决方案。

.htaccess 和 index.php 都会出现问题。

首先我们在文件的文本中搜索一个关键字：

# grep -lir "wjsindex.php" ./
./wp-admin/images/arrow-rights.png
./wp-includes/images/smilies/icon_crystal.gif
./.htaccess

对于另一个文件，我们在文本中搜索一个关键字：

# grep -lir "RZXiMOEbYmVH" ./
./wp-admin/images/arrow-lefts.png
./index.php
./wp-includes/images/smilies/icon_devil.gif

如果您查看这些找到的图像文件的内容，您会发现它们不是图像并且包含与我们的两个原始文件完全匹配的恶意代码。

示例：

我们现在搜索找到的所有四个文件：

# grep -lirE "arrow-rights.png|icon_crystal.gif|arrow-lefts.png|icon_devil.gif" ./
./wp-includes/load.php
./wp-includes/template-loader.php

如果您编辑这两个结果文件。 在文件load.php 的底部和文件template-loader.php 的开头，您将看到需要删除的额外代码。 （以//ckIIbg开头）

要更准确地找出哪些部分是正确的，哪些是恶意的，只需从另一个您确定安全且版本相同的 WordPress 替换该文件，或者使用 diff 命令查找并删除额外的部分。
因此：

# diff  ./wp-includes/load.php ~healthy/www/wp-includes/load.php
# diff  ./wp-includes/template-loader.php ~healthy/www/wp-includes/template-loader.php

最后一步，删除四个恶意图像文件：

# rm -f ./wp-admin/images/arrow-rights.png ./wp-includes/images/smilies/icon_crystal.gif ./wp-admin/images/arrow-lefts.png ./wp-includes/images/smilies/icon_devil.gif