惨遭黑客入侵，记一次服务器被攻击的应急行动！(10)

由于安装了很多插件，所以我编写了一个小脚本，来检查 wordpress 插件目录对 wpvulndb.com 的访问，并显示所有的漏洞。事实证明，有很多严重的漏洞，在没有足够的日志信息的情况下，很难追踪最初的向量。

[+] w3-total-cache

     * [UNKNOWN] W3 Total Cache 0.9.2.4 - Username & Hash Extract

        Fixed in: 0.9.2.5

        + http://seclists.org/fulldisclosure/2012/Dec/242

        + https://github.com/FireFart/W3TotalCacheExploit

     * [RCE] W3 Total Cache - Remote Code Execution

        Fixed in: 0.9.2.9

        + http://www.acunetix.com/blog/web-security-zone/wp-plugins-remote-code-execution/

        + http://wordpress.org/support/topic/pwn3d

        + http://blog.sucuri.net/2013/04/update-wp-super-cache-and-w3tc-immediately-remote-code-execution-vulnerability-disclosed.html

     * [CSRF] W3 Total Cache 0.9.4 - Edge Mode Enabling CSRF

        Fixed in: 0.9.4.1

        + http://seclists.org/fulldisclosure/2014/Sep/29

     * [CSRF] W3 Total Cache <= 0.9.4 - Cross-Site Request Forgery (CSRF)

        Fixed in: 0.9.4.1

注意，脚本没有检查主题或 wordpress 核心漏洞，这也可能包含严重的漏洞。

总结

根据这次服务器被攻击，我总结了如下几条：

• 该系统已经被破坏了几个星期。在 Apache 日志的 Shell 中，最早的可见访问是在 7 月初。

• 我识别了各种受损的 PHP 文件和一个 Windows 恶意软件。

• 至少有三种类型的 Shell 被发现是攻击的指标。

• Windows 恶意软件可能还没有传播。

• 服务器没有显示出明显的更深的感染迹象，从用户帐户来看，没有找到 rootkit。

• 攻击可能被限制在 Web Server 用户上，对于其他用户，我还没有发现任何受攻击的迹象。

• 最初的攻击可能是过时的 wordpress 系统中最不安全的漏洞之一。

• 没有迹象表明其他用户通过 Shell 访问了数据库或数据库凭据。但是，我不能排除有可能访问数据库的可能性。

• 一些可能是来自亚洲 IPs 的恶意活动(Shell 访问)。

• 除了清理系统中的恶意文件，我也应用一些优化手段，比如更改密码和证书，安装一个主机 id，执行定期扫描，主动监测服务器……

  不过，你永远不会得到 100% 的安全性，特别是当你的服务器已经被破坏时，你所能做的最好的事情就是检查每一个来自非官方的备份或脚本。

作者：luochicun

来源：嘶吼专业版微信公众号

（编辑：ASP站长网）