이게 나를 미치게 만들고 있어... 이 곳은 많은 정보를 갖고 있는데 나는 거기에 꽤 많은 시간을 소비했지만 성공하지 못했다. 내 고객의 웹사이트 중 하나가 일부 일본 SEO 스팸 공격을 받았습니다(WordPress 사이트에 대한 알려진 위협인 것으로 보입니다.https://labs.sucuri.net/signatures/sitecheck/spam-seo/?japanese.0)
저는 Ubuntu 20.04.6 LTS와 최신 WordPress를 사용하고 있습니다(모든 플러그인과 코어가 업데이트되었으며, 새 다운로드에서 코어 파일도 복원되었으며, sucuri, iThemes Security 및 Wordfence가 설치되었습니다).
안타깝게도 이전 보안 상태로 롤백하는 것은 그 이후로 많은 트랜잭션이 발생했고 악성 코드가 언제 도입되었는지 확실하지 않기 때문에 불가능합니다. 이제 index.php 파일을 제외한 모든 것이 정리된 것 같습니다. 루트 사용자라도 이 파일에 대한 어떠한 작업도 삭제/편집/수행할 수 없습니다.
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # lsattr index.php
--------------e----- ./index.php
[root@site /home/xxxx.com/public_html] # chmod 755 index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # rm -f index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
그래서 내가 무엇을 하든 파일은 동일하게 유지됩니다. 확인되었습니다. 이는 심볼릭 링크(또는 하드 링크)가 아니며 내용은 항상 동일합니다.
<?php
$a='fgss332';$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
....
// there's more crap to inject a scamming website here
?>
<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/
/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( 'WP_USE_THEMES', true );
/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';
여기서 무슨 일이 일어날지 아는 사람 있나요? 어떤 도움이라도 대단히 감사하겠습니다! :)