提醒：donatelloflowfirstly.ga这个后门应该不是什么插件里的！

栉风沐雨

之前发帖有说过, wp博客文件，以及博客内容里都被插入了
donatelloflowfirstly.ga 的一段JS代码

当时去Google的时候，基本没找到答案，后来去stackoverfolow去提了个问题，当天晚上给清理干净！ 然后网站和数据库做了一个备份！

今天发现又被干了，然后继续Google， 发现这几天出来了好几篇关于这个代码的文章

翻了很多，然后也找了很多被感染的网站，发现这个应该不是插件或者模板留的后门， 具体是什么，暂时还没人知道！

所以提醒大家，这段时间勤备份！

把过程写了篇日志

https://www.waikey.com/vps-tutor ... elloflowfirstly-ga/

clf42

怎么预防？

栉风沐雨

Syc 发表于 2020-8-16 03:50
看文件修改日期，然后按这个时间点去看webserver的访问日志。你要是日志没设置好记录的话就没辙了，这种 ...

宝塔面板，请问有没有方式设置 ？
或者SSH， 什么命令开启记录？  

Syc

栉风沐雨 发表于 2020-8-16 03:11
这个文件之前上传过，但是问题在于，都不知道这个文件是通过什么后门生成 或者 下载的 ...

看文件修改日期，然后按这个时间点去看webserver的访问日志。你要是日志没设置好记录的话就没辙了，这种日志越详细越好，特别是POST的body要记录，默认是不记录的

栉风沐雨

Syc 发表于 2020-8-16 02:59
针对wordpress的新马，主要是从老旧插件、主题，破解插件、主题切入。

会重定向你的网站到js.donatelloflo ...

这个文件之前上传过，但是问题在于，都不知道这个文件是通过什么后门生成 或者 下载的

Syc

针对wordpress的新马，主要是从老旧插件、主题，破解插件、主题切入。

会重定向你的网站到js.donatelloflowfirstly.ga，或插入JS脚本以达到恶意目的。

防火墙无法直接贴代码，病毒样本上传在附件： 样本.zip (1.86 KB, 下载次数: 7)

2020-8-16 02:59 上传

点击文件名下载附件

国际各大杀毒厂家已将此域列为 中度危险的“malicious domain request 21”

16qf

不清楚，楼下应该会知道