LexKlaus/wordpress-webshell-ir-lab

GitHub: LexKlaus/wordpress-webshell-ir-lab

针对 WordPress Webshell 入侵的综合安全事件响应工具集,提供攻击模拟分析、检测扫描、日志取证和自动化加固的完整方案。

Stars: 0 | Forks: 0

# WordPress 被植入 Webshell 的事件應變與復原 ## 專題說明 本專題為完整的技術研究報告與實作工具集,涵蓋 WordPress 遭 Webshell 入侵的完整應對流程。 ## 檔案結構 WordPress_WebshellInjection/ ├── README.md ← 本說明檔 ├── WordPress_Webshell_研究報告.md ← 主研究報告(完整版) ├── webshell_scanner.sh ← Webshell 掃描工具 ├── log_analyzer.sh ← 日誌入侵分析工具 └── wp_hardening.sh ← 安全加固腳本 ## 主研究報告章節 `WordPress_Webshell_研究報告.md` 涵蓋: | 章節 | 內容摘要 | |------|----------| | 1. 威脅模型 | Webshell 定義、WordPress 攻擊面、威脅行為者分類 | | 2. 攻擊手法分析 | 檔案上傳漏洞、插件 CVE、暴力破解、SQL 注入、混淆技術 | | 3. 鑑識與偵測 | IOC 指標、日誌分析指令、檔案系統鑑識、資料庫鑑識、自動化工具 | | 4. 清除與復原 SOP | 六階段應變流程(識別→隔離→鑑識→清除→復原→加固) | | 5. 預防與加固 | wp-config 設定、伺服器加固、PHP 安全配置、監控告警 | | 6. 參考資料 | CVE 資料庫、NIST SP 800-61、OWASP 等官方文件 | ## 技術工具使用方式 ### 1. Webshell 掃描器 # 掃描 WordPress 安裝目錄 sudo bash webshell_scanner.sh /var/www/html # 輸出:控制台報告 + webshell_scan_YYYYMMDD_HHMMSS.txt **掃描規則**: - 上傳目錄中的 PHP 檔案 - 高風險函數(eval+base64、assert 接收外部輸入等) - 直接執行外部輸入(GET/POST/REQUEST) - 異常小的 PHP 檔案(一句話 Webshell) - 近 7 天修改的 PHP 檔案 - 圖片中嵌入的 PHP 程式碼 - .htaccess 異常內容 - 大量 base64 混淆 ### 2. 日誌入侵分析工具 # 分析 Apache 存取日誌 bash log_analyzer.sh /var/log/apache2/access.log # 分析 Nginx 日誌 bash log_analyzer.sh /var/log/nginx/access.log # 輸出:控制台報告 + log_analysis_YYYYMMDD_HHMMSS.txt **分析項目**: - 可疑 POST 請求(PHP 端點) - 上傳目錄 PHP 存取記錄 - 掃描工具 User-Agent 偵測 - 暴力破解偵測(wp-login、xmlrpc) - 大量 404 掃描行為 - 深夜異常管理後台存取 - 異常大回應(資料外洩) ### 3. 安全加固腳本 # 執行前請備份! sudo bash wp_hardening.sh /var/www/html # 輸出:控制台報告 + hardening_YYYYMMDD_HHMMSS.log **執行項目**: - 修復所有檔案/目錄權限(755/644/600) - 建立上傳目錄的 PHP 執行封鎖規則 - 加固主要 .htaccess(防注入、封鎖敏感檔案) - 加固 wp-config.php(DISALLOW_FILE_EDIT 等) - 列出未使用的插件/主題(建議移除) - 建立自動監控 cron 腳本 ## 事件應變快速參考 ⚡ 緊急應變步驟(發現入侵時): 1. 備份現狀 → tar -czf incident_backup.tar.gz /var/www/html/ 2. 啟用維護頁面(隔離) 3. 執行掃描 → bash webshell_scanner.sh /var/www/html 4. 分析日誌 → bash log_analyzer.sh /var/log/apache2/access.log 5. 移除惡意檔案(依掃描報告) 6. 重新安裝核心 → wp core download --force 7. 修改所有密碼(DB、WP 管理員、FTP) 8. 更新 wp-config.php 安全金鑰 9. 執行加固 → bash wp_hardening.sh /var/www/html 10. 驗證復原,移除維護頁面 ## 注意事項 - 所有腳本僅供**防禦與研究用途** - 在生產環境執行前請先於**測試環境驗證** - `wp_hardening.sh` 需要 **root 權限**,執行前務必備份 - 部分功能需要安裝 `wp-cli`、`mail`、`inotifywait` 等工具
标签:CISA项目, Cutter, GitHub Advanced Security, Shell脚本, Webshell, WordPress, 安全加固, 库, 应急响应, 应用安全, 数字取证, 文件完整性监控, 红队行动, 自动化脚本