WP-SHELLSTORM全网自查实战教程:漏洞溯源、WebShell查杀与站点安全加固配置

2026年6月底爆发的WP-SHELLSTORM大规模网络攻击,是本年度Web黑产产业化最典型、影响范围最广的实战案例。不同于普通的单点挂马、页面篡改,本次行动由专业WebShell经纪商操盘,整套攻击链路完全标准化、自动化、流水线化。攻击者不追求单次破坏效果,核心目标是批量拿下海量站点权限,长期驻留、集中管控、打包售卖,形成稳定的黑产变现链路。

澳大利亚网络安全中心公开的监测数据能够直观体现本次攻击的恐怖规模:黑产团队将全球140万台WordPress、Joomla建站站点列为靶向扫描目标。截至7月中旬,已有25195个站点被成功突破权限,服务器留存活跃WebShell后门超5700个,大量企业官网、流量站点、个人博客沦为黑产跳板与挖矿节点。

美国CISA在7月7日紧急将本次攻击核心利用的两个高危漏洞纳入KEV已知在野利用清单,明确标注满分高危、已被批量利用,同步给出7月10日强制修复截止日。如今修复窗口期已经彻底结束,全网EXP利用代码、批量扫描工具、漏洞特征POC全部公开扩散。现阶段仍未完成漏洞修复、后门排查、安全加固的站点,等同于裸奔公网,随时会被自动化攻击集群反复扫描、持续入侵、永久控权。

今天这篇文章从攻击底层本质、漏洞真实危害、完整攻防链路、一键查杀脚本、分步修复操作、企业长效加固体系一次性讲透,所有内容均可直接复制落地,适配个人站长、中小企业运维、企业安全团队。

一、WP-SHELLSTORM能横扫百万站点的根本原因

行业内多数运维人员看待安全事件,习惯停留在表层问题:插件有漏洞、代码有缺陷、运气不好被攻击。这种认知只能解决单点临时问题,永远无法抵御产业化批量攻击。

用第一性原理剥离所有表象,Web批量入侵的底层逻辑只有两条:

  1. 一是公网站点存在无需认证、零门槛利用的高危入口;
  2. 二是站点无有效检测、拦截、清理、权限管控机制。

所有大规模黑产攻击,全部踩中这两个底层漏洞。

WP-SHELLSTORM之所以能在短时间内横扫百万站点,不是黑客技术高超,而是精准拿捏了当下建站行业的结构性安全短板。

本次攻击者不是零散的脚本小子,是职业化运营的WebShell经纪商。他们拥有成熟的商业模式和完整的作业流程,不需要人工逐个渗透,只需要搭建自动化攻击集群,即可实现24小时无人值守收割。全网批量扫描筛选目标、漏洞自动化验证、载荷自动投递、后门自动混淆、权限自动留存、日志自动擦除,整套流程闭环运行。

黑产的变现逻辑非常清晰,分层利用沦陷站点资源:

  1. 高权重企业站点用于窃取商业数据、承接灰产业务;
  2. 流量站点用于挖矿、刷量、恶意跳转;
  3. 普通静态站用作跳板机、僵尸节点。

相比于传统挂马,这种持久控权、批量售卖的模式利润更高、风险更低,也是本次攻击持续度更长、入侵更顽固的核心原因。

我尝试用对抗式审查思维反向推演整套攻击体系,如果我是黑产操盘手,规模化攻击的核心诉求只有三点:漏洞利用零门槛、目标存量足够大、后门留存周期长。本次事件用到的所有漏洞,完美契合黑产全部需求。没有复杂绕过、没有定制化漏洞,全部是公开已知、细节透明、工具泛滥的高危漏洞。

全网大量站点长期存在三类致命运维问题,直接沦为黑产靶场。

  1. 第一,插件、主题、组件长期不更新,老旧漏洞版本海量存量留存;
  2. 第二,为了优化站点性能、丰富功能,私自开启大量非标高危配置,人为打开攻击入口;
  3. 第三,应急处理只修漏洞、不清后门、不改权限、不做加固,治标不治本,给攻击者留下永久回访通道。

6月27日攻击正式启动后,黑产专属攻击服务器集群全天候运行,单日千万级扫描请求覆盖全网公网建站站点。只要站点存在对应漏洞特征,无需人工干预,系统自动完成入侵、留门、控权全过程。这也是很多站长毫无感知,网站却悄然沦陷的核心原因。

二、四大高危漏洞实战拆解:逐点吃透所有入侵入口

本次WP-SHELLSTORM全部入侵行为,依托四个核心高危漏洞完成,分工明确、精准互补。两个Joomla满分漏洞主打高端突破、持久控权,专门拿下企业级站点;Breeze插件、JCE编辑器漏洞主打海量收割,批量攻破百万级存量WordPress站点。

1. CVE-2026-56290|Joomlack Page Builder CK 无认证文件上传(CVSS 10.0)

CVSS满分代表漏洞危害达到天花板级别,无利用门槛、无权限限制、无防御门槛,匿名用户可直接触发攻击。

该漏洞根源是开发者安全设计缺失,Page Builder CK组件的前端素材渲染、资源上传接口,完全跳过了身份认证、权限校验、文件格式过滤三大核心安全机制。开发者默认前端接口无访问风险,未做任何安全防护,导致任意外网访客均可自由上传任意格式文件。

黑产在批量攻击中形成了高度统一的标准化攻击链路,载荷和上传路径完全固定。攻击者统一将混淆加密后的WebShell后门,上传至站点/media/com_pagebuilderck/gfonts/bhup.php路径。

该路径是组件默认静态资源目录,服务器默认开放读写权限,属于常规运维巡检盲区。日常安全扫描、木马查杀大多聚焦站点根目录、上传目录、后台目录,极少有人核查组件资源子目录,后门可以长期静默驻留,数月不被发现。

后门上传成功后,攻击者直接获取站点WEB最高权限,可随意篡改全站源码、删除站点数据、植入挖矿程序、挂载黑链、窃取后台配置信息、篡改页面内容,完全掌控站点所有业务权限。

2. CVE-2026-48908|JoomShaper SP Page Builder 无认证代码执行(CVSS 10.0)

同为满分致命漏洞,相比文件上传漏洞,该漏洞的危害更隐蔽、更持久,也是大量站点反复被入侵的核心元凶。

该组件核心渲染模块存在参数过滤逻辑缺陷,恶意构造的请求参数可以直接绕过系统安全机制,在服务器本地执行任意PHP系统指令,无需登录、无需授权、无需交互。

在本次产业化攻击中,该漏洞被黑产针对性用于持久化权限留存。单纯的WebShell后门可以被查杀、被删除,但后台管理员账号具备永久有效性。攻击者通过代码执行漏洞,批量创建超级管理员账号,留存最高后台权限。

绝大多数运维人员应急处理时,只会清理木马、更新插件、修复漏洞,忽略后台陌生账号排查。漏洞修复完成后,站点看似恢复正常,但攻击者依旧可以通过私有账号随时登录后台,重新植入后门、篡改配置、接管站点,形成永久循环入侵。

3. WordPress Breeze缓存插件漏洞 CVE-2026-3844

本次攻击受害范围最广、收割数量最多的核心漏洞。

Breeze是WordPress生态轻量化缓存插件,凭借低占用、高适配、免费开源的特点,被大量中小企业官网、流量站点、个人博客广泛使用。该漏洞不会默认触发,仅在运维手动开启「Host Files Locally – Gravatars」本地托管配置时生效。

多数站长开启该配置的初衷是优化站点加载速度、减少外部资源请求、提升谷歌测速评分,属于常规优化操作。但该配置直接触发严重文件包含与权限绕过漏洞,攻击者可构造恶意请求读取服务器敏感配置文件,同时上传恶意PHP脚本。

全网攻击统计数据真实直观:黑产针对该漏洞发起超4.5万次精准扫描探测,成功攻破1.7万余个WordPress站点,漏洞利用成功率远超本次事件中其他所有漏洞。

该漏洞最大的隐蔽性在于零前台异常、零后台告警。站点前台访问完全正常,后台无报错、无异常日志,普通运维手段完全无法发现隐患,只能依靠专项特征脚本精准查杀。

4. JCE编辑器跨系统上传漏洞

JCE编辑器跨WordPress、Joomla两大主流建站系统,市场普及率极高,是绝大多数站点默认可视化编辑工具。

老旧版本JCE编辑器存在基础性安全设计缺陷,仅依靠前端JS代码限制上传文件格式,后端无任何二次校验机制。前端校验仅为用户体验优化,不具备安全防御能力,攻击者抓包修改文件后缀即可轻松绕过限制,自由上传PHP脚本后门。

运维群体普遍存在认知误区,默认编辑器属于官方安全组件,长期不更新版本、不核查漏洞,让该漏洞成为本次批量入侵的辅助高频入口,大量站点通过编辑器漏洞被悄无声息植入后门。

三、WP-SHELLSTORM攻防全链路可视化

为了让大家直观看懂黑产标准化作业流程,我整理了整套攻击架构和单点入侵流程,可直接对照排查自身站点的防御短板。

整体攻击架构图

7*24h全网自动化扫描

Breeze/JCE插件漏洞

双满分CVE漏洞

黑产攻击服务器集群

百万级WP/Joomla目标站点池

插件指纹探测+漏洞特征匹配验证

漏洞类型自动匹配

WordPress站点批量挂马控权

Joomla企业站点深度接管

植入混淆WebShell+VShell隐匿后门

新增超级管理员账号持久化留权

擦除入侵日志隐匿驻留

站点权限售卖/挖矿/数据窃取/黑链挂载

单点入侵执行流程图

存在漏洞

无漏洞

攻击启动

端口扫描+系统指纹识别+插件版本探测

POC自动验证漏洞可用性

无认证权限绕过

上传专属后门/执行代码创建管理员

后门加密伪装+路径隐匿

日志清理+权限留存

长期静默控权等待变现

放弃目标,切换下一站

整套攻击完全自动化流水线运行,无人工干预、无目标筛选、无差别批量收割。网站规模大小、流量高低、有无数据,都不会影响攻击判定。黑产工具只识别漏洞特征,只要存在漏洞,就会被入侵控权。

四、实战落地:WP-SHELLSTORM专属一键查杀脚本

我针对本次攻击专属后门文件名、固定挂马路径、加密特征代码,定制适配Linux服务器的专项查杀脚本,兼容宝塔、LNMP、LAMP所有主流运行环境,代码开源无加密、无后门、可直接审计使用。

一键专项查杀脚本(可直接复制)

#!/bin/bash# WP-SHELLSTORM 全网专项后门查杀脚本# 定向查杀:bhup.php、down.php、VShell后门、Joomla高危路径木马echo"========== WP-SHELLSTORM 站点安全专项查杀 =========="echo"执行时间:$(date+%Y-%m-%d\%H:%M:%S)"# 1. 查杀本次攻击专属恶意后门文件echo-e"\n[1] 扫描攻击特征后门:bhup.php / down.php"find/www /home/wwwroot-name"bhup.php"-o-name"down.php"2>/dev/null# 2. 定点扫描Joomla高危挂马目录echo-e"\n[2] 扫描Joomla Page Builder 高危目录可疑脚本"find/www /home/wwwroot-path"*/media/com_pagebuilderck/gfonts/*"-name"*.php"2>/dev/null# 3. 查杀混淆加密WebShell特征echo-e"\n[3] 检测VShell、base64、eval加密后门特征"grep-r"VShell\|base64_decode\|eval($_POST"/www /home/wwwroot--include="*.php"2>/dev/null|head-30# 4. 筛查近15天异常新增PHP文件echo-e"\n[4] 筛查近期异常上传可执行脚本"find/www /home/wwwroot-name"*.php"-mtime-152>/dev/null|grep-vE"index.php|admin.php|wp-config.php"echo-e"\n========== 查杀结束,清理所有可疑未知文件 =========="

脚本部署使用步骤

  1. 服务器新建文本文件,命名为shell_check.sh
  2. 粘贴全部脚本代码并保存;
  3. 终端执行授权命令:chmod +x shell_check.sh
  4. 运行查杀任务:./shell_check.sh
  5. 输出结果中所有未知PHP文件、匹配特征代码,全部判定为风险项直接删除。

对抗式人工必查清单(核心关键)

工具查杀存在局限性,必须搭配人工复核,才能彻底清零隐患。

第一,后台账号全面清查。登录WordPress/Joomla用户管理界面,逐一对账所有管理员账号,删除所有陌生、非自建账号。重置后台、FTP、数据库、服务器面板全部账号密码,提升密码复杂度。

第二,高危路径定点复核。重点检查组件媒体目录、插件缓存目录、站点上传目录、临时备份目录,本次攻击后门全部隐匿在非常规核心目录,极易遗漏。

第三,访问日志溯源封禁。调取6月27日攻击启动至今的Nginx/Apache日志,筛查异常POST上传、参数注入、代码执行请求,将高频攻击IP加入服务器黑名单永久封禁。

第四,插件全局梳理。卸载所有闲置、废弃、长期未更新的插件与主题,减少攻击面,杜绝老旧漏洞残留。

五、全场景漏洞修复实战步骤

工具查杀仅能清理已植入的后门,彻底封堵攻击入口必须完成完整漏洞修复。以下步骤适配所有站点,不影响业务正常运行。

Joomla双满分漏洞修复

后台进入组件管理中心,找到Joomlack Page Builder CK、JoomShaper SP Page Builder两款组件,在线升级至官方最新安全版本。无在线升级入口的老旧版本,直接卸载重装正版组件。

升级完成后,清空组件缓存、站点全局缓存与浏览器缓存。通过服务器防火墙限制组件前端接口的外网匿名访问,仅开放内网白名单访问权限,彻底杜绝无认证攻击。

WordPress Breeze插件漏洞修复

升级Breeze缓存插件至官方安全修复版本,手动关闭「Host Files Locally – Gravatars」高危自定义配置。清理插件静态缓存与站点缓存,关闭所有非必要的本地资源托管功能。长期不用的缓存插件直接卸载,从根源消除漏洞风险。

JCE编辑器漏洞修复

更新JCE编辑器至最新稳定版本,在后台开启文件上传二次校验机制,后端拦截PHP、phtml、asp、aspx等脚本格式文件上传。仅保留图片、文档、压缩包等业务必需的文件格式,彻底封堵上传漏洞。

六、企业级长效安全加固方案

漏洞修复和后门查杀只是应急止损手段,真正的安全防御,是建立持续性对抗防御体系。结合多年企业安全架构经验,整理一套可直接落地的常态化加固方案。

落实权限最小化原则,站点上传目录仅保留读写权限,禁止脚本执行权限,杜绝上传目录被植入木马后直接运行。所有服务器、数据库、FTP账号按需分配权限,不通用、不超权、不共用。

部署WAF精准防护规则,开启恶意文件上传、远程代码执行、参数注入、批量扫描拦截规则,屏蔽高危组件匿名访问接口,拦截产业化自动化攻击流量。

建立插件生命周期管理机制,站点仅保留业务必需插件,杜绝破解版、汉化版、未知来源插件。每周固定核查插件版本,及时同步官方安全更新。

搭建常态化巡检机制,每周自动执行后门查杀脚本,每月复盘服务器访问日志,每季度重置一次核心账号密码,形成固定安全流程。

搭建异地多备份体系,开启站点增量自动备份,同步留存异地备份文件,保留30天以上备份节点,遭遇入侵篡改后可一键回滚,最大限度降低业务损失。

七、事件深度复盘:中小站点安全的核心认知误区

WP-SHELLSTORM这场百万级规模攻击,本质是一次全网安全认知的筛选。被入侵的站点,绝大多数都不是技术短板导致,而是认知短板导致。

很多站长和中小企业负责人始终存在误区,认为站点无交易、无核心数据、流量低微,就不会被黑客盯上。但产业化黑产从不关注站点业务价值,只关注漏洞可用性。你的站点只是黑产批量资源池里的一个节点,被入侵后会沦为挖矿工具、发包跳板、灰链载体,最终导致IP封禁、域名降权、企业口碑受损。

安全从来不是一次性配置,是持续性的对抗博弈。CISA预警、漏洞通报、修复窗口期,都是留给运维的纠错缓冲时间。窗口期结束后,攻击成本归零,漏洞利用方式公开透明,所有未加固站点都会被反复收割。

真正的网站安全,不是出事之后应急清理,而是用第一性原理梳理安全短板,用对抗式审查模拟攻击视角自查风险,提前封堵所有入口、清零所有隐患、搭建长效防御体系。摒弃侥幸心理,从被动救火转为主动防御,才能彻底抵御产业化黑产的持续攻击。

互动讨论

1、本次自查过程中,你的站点是否查出可疑后门文件或高危漏洞?
2、日常网站安全维护,你更依赖工具自动查杀还是人工深度巡检?