在访问日志中调用POST命令

Question

我已经去过这个网站：http://www.google.com/webmasters/hacked/，所以我正在隔离我们的网站和更改密码。但我的问题与我们访问日志中的post命令有关。最常见的问题是：

POST/event/actionscript-6月-201/trackback/ HTTP/1.1“200983”http://www.brookwood.com/event/actionscript-june-201/

和

POST /wp-content/indexfoMt.php HTTP/1.1“200983 "-”"-“brookwood.com”

这两种方法最大的问题是，它们都没有真正创建一个文件，就像在服务器上创建和删除indexfoMt文件一样，因为那里没有这样的文件。

所以我的问题是，我怎样才能最好地浏览我的wordpress网站，以确保我已经清除了所有被黑代码的内容？我知道更改密码是有可能解决问题的，它是否有可能将这些调用从访问日志中删除？

最后，我应该把我的网站隔离多长时间，谷歌并没有给我们任何的指示，多久保持一个网站隔离。提前谢谢。

Answer 1

有人可能正在使用您的WordPress安装来攻击某些东西。我在我自己的CentOS盒上面对了几天，里面有几个WordPress博客。您可能无法通过您的WordPress站点来解决这个问题。您必须登录到该框或要求您的供应商为您这样做。

下载nethogs并查看哪个进程传输的数据比预期的多。例如，如果是名为host的进程，那么查看它与lsof一起使用的文件(参见下面)。然后您可能会发现哪个WordPress安装会受到影响。然后转到WordPress文件夹，查找新的可疑文件。

在我的案子里看起来是这样的。见bruteforce.so。

[root@/domain/ logs]# lsof | grep 1706
...
host       1706 /domain/  cwd       DIR              253,0     4096      10178 /home//domain//public_html/wp-content/themes/twentyeleven
...
host       1706 /domain/  DEL       REG              253,0                 656 /home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.so

如果您被破坏了，而不是重新创建您的服务器，并使用备份来恢复它，就像https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server中所说的那样。

Answer 2

试着在你的网页目录周围找到后门，重置所有密码，数据库信息，更新你的wordpress和登录详细信息。

下面是我在客户服务器上找到的后门：

http://pastebin.com/apAJeJFR

而这个：

http://pastebin.com/vRxEWCqT

试着使用grep来发现你也有它们。