20241214博客临近十年的大礼包——论为什么我的wordpress被黑了

这个博客是2015年创建的,今年是2024年很快就要到10年。当时随便从网上找了个主题就没再管它,这些年一直都是修修补补断断续续的升级,遇到报错就自己修掉。想着只要还能凑合用没大问题就行,到过年的时候放假重新做镜像化或者改成静态页什么的方式弄个新技术栈博客。但计划赶不上变化啊,今天本来要写minikube的记录,但打开博客发现速度巨慢,统计时间总是60s上下

尝试重启了apache2、mysql、甚至整个服务器后依然没用。这时候才怀疑是不是被黑了。

根据curl本地测试结果,和远程效果一致可排除腾讯云网络问题。打开apache2日志没发现明显报错,但下面的日志引起了我的注意

这个域名既不是我网站的,我也没什么印象。实际测了下目前服务器的网络是打不开这个地址的。根据这行日志说的查看comment.php内容

根据相似的base64搜索还能发现

解码后内容是

就是这俩文件超时导致变卡的,删掉这两行代码后速度恢复了。对比上一次备份的文件发现没这个内容,怎么写进去的呢?

看了腾讯云的面板和邮件,没有看到异常

用命令行查询最近修改过的文件如下

可以看到多了一些莫名其妙的插件和cache,打开其中一个php可以看到

它不仅写入了新用户,还给自己加了管理员权限。按这个用户名手动去数据库删掉它

其他php中包含了一个log.zip,但实际内容却是php代码

https://s.threatbook.com/report/file/61c192ad41eb1117320e519941eef22146de5092b1e2bf876ed92cc5336d9bde

可以看到是来自于https://github.com/m7x/cmsmap/的webshell

后面的内容虽然做了层层编码,但最后一行才是执行入口

删了它改成打印文本即可看到原始内容,最后又是套娃

删掉eval可避免实际执行代码

打印结果如下,可以看到是一个webshell,讽刺的是这时候腾讯发来了邮件警告。合着前面的编码都是为了骗过腾讯云的检测啊,简单的套两层编码就能绕过云厂商的检测也是醉了。。。。

安全起见完整文件这里就不放了

再看最开始cache下的文件怎么来的呢?首先怀疑的就是timthumb.php,阅读代码逻辑可发现cache文件夹就是它放缓存文件的地方。

参考https://seclists.org/fulldisclosure/2014/Jun/117可以知道这是个很多年前的rce了

修复方式见https://github.com/GabrielGil/TimThumb/commit/564c00058271147af32da8ac665c00f6a1c4ac29#diff-48eb07ba42e9c840631245fee640f99a5beae7b9e238fe802016332fe21f8593L962

倒霉的是不知道为什么快10年了都没被扫到,最近才被人利用

二进制分析不是我的强项,有没有懂二进制安全的大佬分析下这个文件行为是啥,用在线攻击也扫不出问题

https://s.threatbook.com/report/file/4b51ac4a24dbc5cd015cb3a1055fffb4b45d18935ed8015a0682a4321c8147b8

可私聊我获取原始文件

 

0 Comments
Leave a Reply