匿码壁技术博客

有趣实用互联网文章内容集散地

如何检测下载的WP主题插件是否包含后门?

最近很多小伙伴一直在讨论网站被黑和下载的免费 wordpress 主题插件被挂马的话题,那么今天就来教大家如何识别 wordpress 主 题插件是否被留了后门。首先来说下 wordpress 的运行环境,相信稍微有点常识的站长都知道 wordpress 是一款运行在 php+mysql 构架之 上的建站系统,而且 wordpress 主题插件都是编写成.php 后缀的可执行文件这是为什么 wordpress 的免费主题插件很容易留后门的问题。既然都是由 php 编写的,那么我们只要知道一般 php 后门常用程序就能一定程度上察觉到主题插件中是否存在后门木马,下面列出几种方法来检查有木有后门

第一种使用工具检测(插件检测)主题方法:

安装插件方法:
wordpress 后台——外观——TAC——启动 Theme Authenticity Checker 安全检测插件
然后就会自动检测,如果出现全部为绿色,则表示没有任何后门
如果有异常请点击 Details 产看,并按照路径进行相关处理

第二种使用手动检测主题方法

使用 ftp 工具查看源码,
找到 fuctions.php 这个文件 查看是否包含以下函数:

执行系统命令: system, passthru, shell_exec, exec, popen, proc_open(高危)

代码执行: eval, assert, preg_replace(‘/$pattern/e’)(高危)

文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)

字符串加密解密压缩解压隐藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)

wordpress 创建后门用户:wp_create_user, WP_User, set_role(高危)
function stripos
function scandir
function _getprepare_widget
add_action(“init”, “_getprepare_widget”);
function _get_allwidgets_cont
function strripos
function _checkactive_widgets
add_action(“admin_head”, “_checkactive_widgets”);

第三种使用文件同步对比法检测主题方法:

首先在 wordpress 官网下载跟你源码相同版本的代码
找到下载源码中的 fuctions.php 与你的程序源码的 fuctions.php 进行对比
对比的时候请注意,如果对比出现红色的可以询问相关技术人员,或者在网上进行搜索

如果在主题中标注的高危代码基本就可以确定这款主题很有问题了,基本上都是为了留后门或者是做些小动作了。如果是发现了本文标注的可疑代码那就要注意了很有可能加密部分的代码就是后门。很多小伙伴肯定不懂preg_replace(‘/$pattern/e’)这段代码是什么意思,下面就来给大家解释下,preg_replace函数使用 e 修饰符之后在执行逆向引用替换完之后会将替换的代码当作 php 代码运行,所以也是一种非常常见的后门代 码。在检测主题插件是否包含后门的时候只要用文本搜索工具或者软件搜索主题插件的 php 文件是否包含以上关键字,在搜索到preg_replace时需要人工对比下代码查看是否包含 e 修饰符,如果主题文件出现大量的chr(2).chr(3).chr(58)这样类似的代码也要小心了,另外发现主题文件出现一大堆无规则的字符也要小心了一般都是加密后的代码很可能隐藏了后门。


来源/作者:疯子墨 (微信/QQ:973525196 公众号:fengzimo168)本文地址:https://www.fengzimo.com/875.html 欢迎转载,转载请注明作者名称。
喜欢 (1)
点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注