最近,网站真的很奇怪,网站后台不只莫名多了很多“管理员”,所有的Wordpres插件还会被自动停息,导致一些插件支持的页面,如WooCommerce无法正常访问、以及利用。
之前大略地以为是网站管理员账号被盗,以是改密码了,并且加了上岸双重验证。没想到,后面创造网站还是会连续增加“管理员”,插件也会被连续停用。
本日查看了宝塔面板的后台防火墙,才知道用了网站用的某个插件天生的文件常常被SQL注入攻击。
纵然宝塔面板拦截了不少SQL注入,但是不知道为什么,仍旧有一些SQL注入成功了,以是导致后台涌现不少“管理员”,以及数据库插件被停用(数据库这一行可能被删了——active_plugins)。
查看拦截日志之后,创造注入详情如下:
SQL传入值为:
q=INSERT INTO wp_usermeta(user_id,meta_key,meta_value)SELECT ID,‘wp_capabilities‘,‘a:1:{s:13:"administrator";b:1;}‘FROM wp_users WHERE user_login=‘xtw18387bb83‘;
这是一个布局的SQL语句,考试测验通过HTTP要求参数q(可能代表query,即查询)来实行。这个SQL语句的目的是给用户名为xtw18387bb83的用户添加一个具有管理员权限的元数据记录。
在网上找了很多资料看到,终于知道为什么是这个CSV.php文件被注入了。——据先容:CSV注入(CSV Injection)漏洞常日会涌如今有导出文件(.csv/.xls)功能的网站中。当导出的文件内容可控时,攻击者常日将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL会调用本身的动态功能,实行攻击者的恶意代码,从而掌握用户打算机。
知道了缘故原由,该当就好办理问题了。保持Nignx防火墙开启自动过滤的同时,首先拉黑所有来自攻击地的IP访问(从起始IP到终止IP,如果客户面向海内,实在可以直接禁止外洋所有IP访问);其次,将被注入的访问目录/CSV/目录加入访问URL黑名单;末了,将被SQL注入的详细文件权限修正为644。当然,直接删掉干系插件该当可能会更好吧。
末了,大神们轻点喷,仅小白自我探索的办理方案,该当可以办理吧?
