漏洞概述 Smart Slider 3 的更新基础设施遭到攻击,导致恶意版本 3.5.1.35 被发布并安装到部分网站。该恶意版本包含后门程序,可执行以下操作: 创建隐藏的管理员账户(通常以 开头)。 重置密码以维持访问权限。 在 和 等目录安装后门文件。 允许攻击者远程执行任意代码。 将站点信息和凭据发送至外部服务器。 注意:受影响的网站应被视为完全被攻陷 (fully compromised)。 影响范围 修复方案 首选方案:服务器回滚 (Server Rollback) 强烈建议将服务器回滚到 3.5.1.35 之前 的备份点(建议回滚至 2026 年 4 月 5 日或更早的备份)。 回滚后,建议重置所有凭据。 次选方案(若无备份): 1. 立即更新:安装修复版本 Smart Slider 3 version 3.5.1.36。 2. 开启维护模式:暂时限制对网站的访问,防止进一步入侵。 3. 创建完整备份:备份所有网站文件和数据库,标记为“感染备份”以备参考。 4. 检查未授权管理员:查找用户名以 开头(如 )或邮箱为 的账户,立即禁用并删除。 5. 删除后门文件:检查并删除以下文件,并搜索可疑代码模式: 搜索模式: , , , , 6. 替换感染文件:重新安装 Smart Slider 3 version 3.5.1.36。 7. 重置所有密码:包括管理员密码、主机控制面板密码、FTP/SSH 密码、数据库密码及关联邮箱密码。 8. 审查文件系统:检查 , , , 目录,查找意外的 文件或最近修改的文件。 9. 重新安装核心和扩展:重新安装 CMS 核心文件、所有插件和主题,移除未使用或不可信的扩展。 10. 检查日志:审查服务器访问日志、错误日志和管理员登录历史,查找可疑请求或未知登录。 11. 验证安全扩展:恶意软件可能禁用了安全扩展,需重新安装并启用,运行完整扫描。 12. 应用安全最佳实践**:启用双重认证 (2FA),保持软件更新,使用强密码,限制管理员访问权限,保持定期离线备份。 提取的恶意代码/文件特征