Google搜索某wordpress主题的时候,发现的这个网站。
( k9 I- ]/ o, |% d! p9 e当时还是.design的域名,当时看全球排名印象中是几千名。
& D* w, e5 `, Z; s+ j0 _2 A' @后来域名换成了.in这个。
, ~5 r8 e& c5 i* S1 v/ |, V再后来还发现,Google搜索很多很多主题、插件名称,都能找到他们的网站,站群操作,流量非常大。' z, \2 D) d$ C( N( o' I
: R, ^+ c2 b- Z; Q2 o
+ y4 K9 y1 Z2 R* \; M2 V/ w- j4 t
0 z Y( @2 \, ]! E" L! ]* r1 O2 }
, g$ x: u" p1 w2 D$ n8 B这些网站强悍的地方是,所有市面上收费的wordpress主题、插件,他都能免费下载,而且更新速度非常快。
) A* T& r5 i( \4 D; M$ K W& s3 |4 s4 h$ d, R3 x1 Q W* U" K1 G
发现后门,是无意间在插件目录发现一个没有安装过的插件文件mplugin.php,但是在Wordpress后台是看不到这个插件的,而且奇怪的是还自动生成了一个ip_admin.txt文件,自动记录管理员登录IP。; Y$ R& p) E$ _! u1 m6 r/ L' I0 `
删除这些文件,又会自动重新生成。
- w) q* A2 D4 x, x; A' A [赶紧用wordfence扫了下,好家伙,包括functions.php, wp-config.php等很多文件都被感染了。: B1 ^2 i7 c! K
又扫了下另外一个网站,也中招了。' L5 }7 Z& Z2 V R# c
q$ e; Z6 a, }( A' g) D" B" BGoogle搜了下,很多人中招,他们会自动在你的我网站插入广告,劫持网站,但是你是很难发现的,因为已经记录了你的登录IP。- P' ?% h- o: X2 Q! G4 b. j
https://qeba.medium.com/malware-on-wordpress-beware-d1c759218aef7 G0 Y7 N7 V& S
6 r4 G/ j0 l; d/ m+ s! O" j1 L如果没有后门,这些网站还是很牛掰的,他们基本上囊括了市面上所有的Wordpress主题和插件,如果有人能把后门都去掉,倒卖这些收费主题,也是一门好生意吧
/ m# |: h7 L' m" r, J7 _$ ? |
[复制链接]
发表于 2021-8-26 14:31:59
发表于 2021-8-26 14:54:18
发表于 2021-8-26 15:02:51
发表于 2021-8-26 15:11:21
楼主
发表于 2021-8-26 17:22:27
