- 積分
- 51
- 最後登入
- 1970-1-1
- 閱讀權限
- 20
- 積分
- 51
- 帖子
- 精華
升級
   2%
|
本帖最後由 artlin 於 2018-8-26 17:08 編輯
我們有一個網站是用 wordpress架構而成的,最近發生首頁被倒到惡意網站的問題,以下查找方式,獻醜了。
網站的徵兆:第一次連結首頁會被導至惡意連結,"4.unverf.com",網址最前面數字會一直變,但是第二次再連接,就不會出現了。
調查問題的方式:
一、懷疑是用cookies來控制,所以透過刪除cookies來確認被寫入的是那個,研究結果第一次連線會寫入"tropedos"及"tropedos2",只要有"tropedos2" 就不會出現惡意網站,刪除他就不會出現,確認原因在這邊。
二、用chrome 開發人員工具,來查找 產出 "tropedos2"的script,結果查到是由"https://hugeincome.tk/htk.js",來控制網頁的導向,再往上查他是由 "https://cdn.allyouwant.online/main.js?t=db" 來呼叫的,然後再查照首頁原始碼,找出"<script src="https://db.allyouwant.online/main.js" type='text/javascript'>"這樣的script,確認這是被植入的問題點。
三、再透過把cookies跟"allyouwant.online"的所有 srcipt刪除,確認就沒再導至惡意網站了。
四、再來上google查詢,找到這篇文章"https://www.getastra.com/blog/911/wordpress-redirect-targets-vulnerable-tagdiv-themes-and-ultimate-member-plugin/"
問題點應該是 Ultimate Member plugin未經身份驗證的任意文件上載 漏洞,這個漏洞於 20180809已完成修補了,如有使用的請盡快修補,避免受害。
|
-
|
狗仔卡
發表於 2018-8-26 17:04
按個讚
收藏
分享
提升卡
置頂卡
變色卡
樓主