新型 WordPress 远程执行恶意病毒,可寄生于多站点 rms_unique_wp_mu_pl_fl_nm.php

前几天在帮客户检查网站的配置问题发现的此病毒,来源毫不意外,依旧是一些所谓的 WordPress 免费资源下载网站。天下没有白吃的午餐,多多少少都会以某种形式付出代价,此木马病毒和 WP-VCD 不同,对网站系统内的文件数据不会产生破坏性的影响,但是会悄悄的获取网站的管理员权限和发布垃圾内容,过程想当隐蔽。

什么是 WP-VCD 请看文末附上的文章,这里就不多叙述,主要是讲讲新发现的 rms_unique_wp_mu_pl_fl_nm.php 木马病毒。

此病毒的传播途径是通过植入到一些热门高级插件、主题里然后通过免费下载传播,用户一旦上传至网站安装,启用相关插件后,就会自动生成在 mu-plugins 目录内生成一个 rms_unique_wp_mu_pl_fl_nm.php  文件,此文件可自动实现远程登录和获取到管理员权限,同时实现远程发布文章上传内容到用户站点。

从客户站下载到的插件包里,薇晓朵发现木马文件一共只有三个,比较特别的是,此病毒好像是专门针对 WordPress Multisite 创建。

执行脚本:

  • rms-script-mu-plugin.php
  • rms-script-ini.php

自动生成

  • rms_unique_wp_mu_pl_fl_nm.php

如果你在自己的网站内部发现了有类似的几个文件,那么就请自己赶紧排查下网站是否存在不明管理员账号和一些附带英文垃圾链接的文章内容,包括你在后台看不见,但已经被搜索引擎收录的垃圾文章。

对网站进行全面的扫描和漏洞排查,删除不用的插件,而且尽量避免使用来路不明和在一些所谓的分享网站上下载的免费 WordPress 高级插件,这里就不点名说了,国内很多分享 WordPress 主题插件的个人站点其实也是散播病毒木马的一环,他们只是自己还不自知。

如果你发现自己站点被黑,SEO 排名消失,而且还冒出来奇奇怪怪的内容和文件,那么可能就是需要清理木马病毒了。

这篇文章算是提醒和警告,此病毒最早出现是在去年 9 月份左右,就现在来说传播的还不算很广泛,另一个我们也中过招的 WP-VCD 相关说明可以看下面文章:

还在使用 Nulled (失效) WordPress 高级主题、插件?快来检查下你的网站有没有中病毒。

2020 年 05 月 17 日 补充—— 其他遇到被黑站点的客户反馈和垃圾内容截图,请及时清理漏洞: 

下面的这些垃圾文章需要进行全面的清理和删除,而且过去已发布的文章也要记得搜索下是否被植入了垃圾链接,有的时候会自动生成内容和黑链到你的站点文章内,需要都排查下。长期不清理和处理的站点就纯粹是沦落为别人的肉鸡和垃圾链接站,特别是给搜索引擎收录后对 SEO 简直就是致命打击。

如果实在是没有技术人员管理网站,薇晓朵提供了网站托管计划套餐,连接至我们的云平台将会想当省事,可以进一步了解。

WordPress 网站维护

发布者

诗语

诗语

薇晓朵 & 菲比斯公司创始人,爱看书,爱科技

发表评论

电子邮件地址不会被公开。 必填项已用*标注