微剋多資訊

 找回密碼
 註冊

Sign in with google

Google帳號登入

搜索

該用戶從未簽到

升級   2%

跳轉到指定樓層
主題
發表於 2018-8-26 17:04 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
本帖最後由 artlin 於 2018-8-26 17:08 編輯

我們有一個網站是用 wordpress架構而成的,最近發生首頁被倒到惡意網站的問題,以下查找方式,獻醜了。

網站的徵兆:第一次連結首頁會被導至惡意連結,"4.unverf.com",網址最前面數字會一直變,但是第二次再連接,就不會出現了。
調查問題的方式:
一、懷疑是用cookies來控制,所以透過刪除cookies來確認被寫入的是那個,研究結果第一次連線會寫入"tropedos"及"tropedos2",只要有"tropedos2" 就不會出現惡意網站,刪除他就不會出現,確認原因在這邊。
二、用chrome 開發人員工具,來查找 產出 "tropedos2"的script,結果查到是由"https://hugeincome.tk/htk.js",來控制網頁的導向,再往上查他是由 "https://cdn.allyouwant.online/main.js?t=db" 來呼叫的,然後再查照首頁原始碼,找出"<script src="https://db.allyouwant.online/main.js" type='text/javascript'>"這樣的script,確認這是被植入的問題點。
三、再透過把cookies跟"allyouwant.online"的所有 srcipt刪除,確認就沒再導至惡意網站了。
四、再來上google查詢,找到這篇文章"https://www.getastra.com/blog/911/wordpress-redirect-targets-vulnerable-tagdiv-themes-and-ultimate-member-plugin/"
問題點應該是 Ultimate Member plugin未經身份驗證的任意文件上載 漏洞,這個漏洞於 20180809已完成修補了,如有使用的請盡快修補,避免受害。



樓主熱門主題

該用戶從未簽到

升級   2%

2F
 樓主| 發表於 2018-8-26 20:44 | 只看該作者
其實我也是wordpress新手,系統是由廠商架設的,這個部份我還沒學會,
我也不清楚那些防護套件有沒有用,不過目前知道的是那個漏洞,剛修補完成不久。

使用道具

簽到天數: 18

該用戶今日未簽到

升級   0%

3F
發表於 2018-8-29 17:54 | 只看該作者
感謝,得趕快通知有用wordpress的朋友檢查有無使用Ultimate Member plugin

使用道具

簽到天數: 13

該用戶今日未簽到

升級   0%

4F
發表於 2018-8-29 19:18 | 只看該作者
剛剛查了一下發現Ultimate Member plugin是會員模組,我也去通知朋友看有沒有人有裝~

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2024-12-22 19:47

Discuz! X

© 2009-2023 Microduo

快速回覆 返回頂部 返回列表