LexKlaus/wordpress-webshell-ir-lab
GitHub: LexKlaus/wordpress-webshell-ir-lab
针对 WordPress Webshell 入侵的综合安全事件响应工具集,提供攻击模拟分析、检测扫描、日志取证和自动化加固的完整方案。
Stars: 0 | Forks: 0
# WordPress 被植入 Webshell 的事件應變與復原
## 專題說明
本專題為完整的技術研究報告與實作工具集,涵蓋 WordPress 遭 Webshell 入侵的完整應對流程。
## 檔案結構
WordPress_WebshellInjection/
├── README.md ← 本說明檔
├── WordPress_Webshell_研究報告.md ← 主研究報告(完整版)
├── webshell_scanner.sh ← Webshell 掃描工具
├── log_analyzer.sh ← 日誌入侵分析工具
└── wp_hardening.sh ← 安全加固腳本
## 主研究報告章節
`WordPress_Webshell_研究報告.md` 涵蓋:
| 章節 | 內容摘要 |
|------|----------|
| 1. 威脅模型 | Webshell 定義、WordPress 攻擊面、威脅行為者分類 |
| 2. 攻擊手法分析 | 檔案上傳漏洞、插件 CVE、暴力破解、SQL 注入、混淆技術 |
| 3. 鑑識與偵測 | IOC 指標、日誌分析指令、檔案系統鑑識、資料庫鑑識、自動化工具 |
| 4. 清除與復原 SOP | 六階段應變流程(識別→隔離→鑑識→清除→復原→加固) |
| 5. 預防與加固 | wp-config 設定、伺服器加固、PHP 安全配置、監控告警 |
| 6. 參考資料 | CVE 資料庫、NIST SP 800-61、OWASP 等官方文件 |
## 技術工具使用方式
### 1. Webshell 掃描器
# 掃描 WordPress 安裝目錄
sudo bash webshell_scanner.sh /var/www/html
# 輸出:控制台報告 + webshell_scan_YYYYMMDD_HHMMSS.txt
**掃描規則**:
- 上傳目錄中的 PHP 檔案
- 高風險函數(eval+base64、assert 接收外部輸入等)
- 直接執行外部輸入(GET/POST/REQUEST)
- 異常小的 PHP 檔案(一句話 Webshell)
- 近 7 天修改的 PHP 檔案
- 圖片中嵌入的 PHP 程式碼
- .htaccess 異常內容
- 大量 base64 混淆
### 2. 日誌入侵分析工具
# 分析 Apache 存取日誌
bash log_analyzer.sh /var/log/apache2/access.log
# 分析 Nginx 日誌
bash log_analyzer.sh /var/log/nginx/access.log
# 輸出:控制台報告 + log_analysis_YYYYMMDD_HHMMSS.txt
**分析項目**:
- 可疑 POST 請求(PHP 端點)
- 上傳目錄 PHP 存取記錄
- 掃描工具 User-Agent 偵測
- 暴力破解偵測(wp-login、xmlrpc)
- 大量 404 掃描行為
- 深夜異常管理後台存取
- 異常大回應(資料外洩)
### 3. 安全加固腳本
# 執行前請備份!
sudo bash wp_hardening.sh /var/www/html
# 輸出:控制台報告 + hardening_YYYYMMDD_HHMMSS.log
**執行項目**:
- 修復所有檔案/目錄權限(755/644/600)
- 建立上傳目錄的 PHP 執行封鎖規則
- 加固主要 .htaccess(防注入、封鎖敏感檔案)
- 加固 wp-config.php(DISALLOW_FILE_EDIT 等)
- 列出未使用的插件/主題(建議移除)
- 建立自動監控 cron 腳本
## 事件應變快速參考
⚡ 緊急應變步驟(發現入侵時):
1. 備份現狀 → tar -czf incident_backup.tar.gz /var/www/html/
2. 啟用維護頁面(隔離)
3. 執行掃描 → bash webshell_scanner.sh /var/www/html
4. 分析日誌 → bash log_analyzer.sh /var/log/apache2/access.log
5. 移除惡意檔案(依掃描報告)
6. 重新安裝核心 → wp core download --force
7. 修改所有密碼(DB、WP 管理員、FTP)
8. 更新 wp-config.php 安全金鑰
9. 執行加固 → bash wp_hardening.sh /var/www/html
10. 驗證復原,移除維護頁面
## 注意事項
- 所有腳本僅供**防禦與研究用途**
- 在生產環境執行前請先於**測試環境驗證**
- `wp_hardening.sh` 需要 **root 權限**,執行前務必備份
- 部分功能需要安裝 `wp-cli`、`mail`、`inotifywait` 等工具
标签:CISA项目, Cutter, GitHub Advanced Security, Shell脚本, Webshell, WordPress, 安全加固, 库, 应急响应, 应用安全, 数字取证, 文件完整性监控, 红队行动, 自动化脚本