近期发现 VPS 下某个采用 WordPress 的站点出现被挂马的事件。事后及时进行了清除,同时综合那个木马相对应的蜜罐观察到的信息,给出以下几点提醒:
1、下载主题和插件千万要去可信的渠道下载,那种 XX源码 什么的给的主题就别用了,尽量去官方下载。
2、贯彻权限最小化原则,为了安全,可以将除了附件目录之外的目录的写权限取消掉,同时附件目录禁止 php 的运行(这样不太妥当,会造成自动升级失败)。
3、对于 webshell 做好防御,比如限制好执行目录,以及 安装 suhosin 拓展 禁止 eval 函数。
4、自行修改主题时请注意可能存在的安全漏洞,写出安全的代码才能治根。
5、攻击者很狡猾,采用了其他同样被攻击的站点来做跳板,而那些站点无一例外都是 WordPress 的并且安装了不明来源的第三方主题,组成了一个大网络,攻击者在其中很容易地就隐藏了身份。
6、被攻击之后的行为主要表现为:访问其他服务器的木马,被当做跳板了;对外大量发送垃圾邮件;以及,访问某些社交媒体,似乎是某些组织为了隐匿自己的身份而后发送某些信息。

以上,请各位注意,我也会持续观察…