今天是笔者上班的第一天,作为一个爱好上班的人来说,心情格外舒畅直到打开网站的那一刻,我想我一定是打开了假的工具猫官网,开什么玩笑?我用的可是号称安全性最高的wordpress程序,肿么会被黑了呢?一脸懵逼状~~~。
Hacked By TheWayEnd是什么鬼
标题跟内容都被改了哎哟我去,标题跟内容都被人修改了难道是我的密码泄漏了?还是服务器被入侵了?问了下搞安全的朋友才知道,wordpress 4.7和4.7.1两个版本爆了个零日漏洞,攻击者利用该漏洞可以任意修改网站内容。
不管是不是这个漏洞导致的,先把wordpress升级到4.7.2再说, 因为4.7.2 版本更新中修补了该漏洞下面我们开始追踪溯源,确认下是不是因为这个漏洞导致网站内容被修改的一、登陆wordpress后台,编辑那篇被黑的文章,拉到最下面,查看修订版本。
可以看到一个用户名为空,修改时间是2017年2月5日 20:53:15 修改的版本这个应该就是黑客入侵的时间了
其实到这一步基本上可以确认就是这个0day导致的笔者网站被黑了因为安全公司 Sucuri 是在 2月2日 曝出 4.7 和 4.7.1 版本 WordPress 的 REST API (一种接口规范)存在零日漏洞,攻击者利用该漏洞可以在未经身份验证的情况下任意增删改查文章、页面及其他内容。
二、下面我只想看看入侵笔者网站的到底是何许人也,百度搜了一下 TheWayEnd,相关结果有215000个,貌似还是个厉害角色,吓得笔者虎躯一震随便抽查了几个域名的WHOIS,发现基本上都是国外的域名,看来是某位大牛在批量测试漏洞,刚好测到了我的网站,笔者只好掩面而泣了~~。
三,看下这位大牛是哪里人登陆笔者的网站服务器(用的是Linux系统),进入到nginx日志目录下,运行如下命令: cat 日志文件 | grep /index.php/wp-json 有没有发现图中这个时间跟第一步笔者的截图上显示的时间一毛一样呢,。
没错,这个请求就是这位黑客大牛在对笔者实施暴行中(┭┮﹏┭┮)。小心翼翼的把这个IP复制出来,百度一下,是土耳其的,,这下连当面膜拜一下都不行了。
最后再郑重的提醒下大家:wordpress版本是 4.7 或者 4.7.1 版本的朋友赶紧升级到 4.7.2 免得第二天醒来网站被挂上了羞羞的广告!已经被黑的朋友可以用笔者的方法看下攻击者IP是不是跟笔者一样,欢迎分享出来让笔者也心理平衡一下!!!。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。