漏洞概述 Smart Slider 3 Pro for WordPress 的 3.5.1.35 版本被植入恶意软件。攻击者利用更新系统分发该恶意版本。一旦检测到,更新基础设施已关闭,并发布了安全版本 3.5.1.36。 恶意行为包括: 通过 HTTP 头远程执行系统命令 ( )。 通过隐藏参数执行任意 PHP 代码 ( )。 创建隐藏的管理员用户(如 , )。 将凭据存储在 WordPress 选项中 ( )。 在多个位置安装持久化后门。 将站点和凭据数据发送到外部服务器 ( )。 受影响的站点应被视为完全被攻陷 (fully compromised)。 影响范围 受影响版本: 3.5.1.35 (状态:Compromised,需立即行动) 安全版本: 3.5.1.36 (状态:Safe) 安全版本: <= 3.5.1.34 (状态:Safe) 注意: 仅 Pro 版本受影响。Joomla 版本包含更深层的持久化机制。 修复方案 1. 服务器回滚 (Server Rollback) 强烈建议将服务器回滚到 3.5.1.35 版本之前的备份点(最好在 2026 年 4 月 5 日或更早)。 登录主机面板。 查找备份、快照或恢复点。 找到 3.5.1.35 之前的备份并恢复。 2. 重置凭据 恢复服务器后,建议重新生成 中的安全密钥 (security keys/salts),因为攻击者可能已获取。 3. 手动清理指南 (Manual Cleanup Guide) 如果无法回滚,请执行以下步骤: 1. 立即更新: 重新安装 Smart Slider,删除 3.5.1.35,安装 3.5.1.36。 2. 维护模式: 暂时限制访问。 3. 备份站点: 创建完整备份(文件+数据库)。 4. 移除恶意插件: 删除整个插件目录 。 5. 移除隐藏管理员用户: 检查用户,删除以 或 开头且邮箱为 的用户。 6. 移除持久化文件: 删除以下文件(如果存在): 7. 清理主题 functions.php: 检查所有活动主题/子主题,移除包含以下恶意模式的代码: 查找在 内创建文件的代码,或 base64 编码/混淆的 PHP 代码。 8. 移除恶意 WordPress 选项: 在 表中删除以下选项: 9. 清理 wp-config.php: 移除可能存在的常量定义: 10. 清理 .htaccess: 检查根目录下的 ,移除包含以下内容的行: 11. 重装 WordPress 核心: 用官方源下载的文件替换所有核心文件(保留 和 )。 12. 重装插件和主题: 移除所有插件,仅从可信源重新安装。 13. 更改所有密码:** 重置 WordPress 管理员密码、安全密钥、主机账户、FTP/SSH、数据库密码、邮箱账户。