前几天博客被谷歌列入 blacklist,用火狐去访问时老是给出警告,奇怪的是我用 IE 或者手机浏览器访问却是完全正常的。(后来我才明白,这是谷歌特有的黑名单制度哇)。忍受了好几天之后,受不了啦,决定去修复一下。
网上好多人都是说这种现象可能是 .htaccess 文件被篡改了,我去看了下,完全正常。
然后,又看了 wp-config.php, wp-load.php, wp-setting.php,也正常啊。
问小张客服,回答说“主题被挂马的可能性很大”,让“换个主题试试”,但是换了主题,问题依旧~
既然我的页面总是被重定向到 xxxxx.com 网站,我把整个网站目录下载下来,然后用 grep 命令搜索 xxxxx.com 字符串,却啥也没搜到。像是幽灵一样的神秘。
最后找到老外的救星了:
仔细检查了一下 wp-config.php,终于发现在第一行后面有如下诡异的代码:
eval(base64_decode('Ul9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzd
...省略...
ZnJvbGluZy5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9');难怪用 grep 搜索不到了,现在黑客都学聪明了,居然把恶意代码加密了。那个乱七八糟的字符串解密之后果然就包含有 xxxxx.com 这个网站。
可是为什么我刚开始看 wp-config.php 没看出来呢?黑客也确实狡猾,这个代码虽然很长,却全部都是写在一行里面的,而且缩进很深,我的文本编辑器又设为不自动换行,于是这些代码全部躲在第一行末尾,我居然都没看到!
果断删除之,世界恢复清净。
可惜对于这个权限为644的文件,黑客究竟是怎么写入的,我还是不清楚哇
这黑客也太厉害了!
@清风, 算是用了一点比较高明的雕虫小技,我以前没经验应付
🙁 被黑过好几次了,慢慢都有对付的经验了
我还没被黑过,没这种经验,怎么办?
@jiechic, (1)及时把 wordpress 更新到最新版本(2)插件不要乱装(3)仔细检查wp-*.php之类的文件的权限
居然写到Wp-config了。。。
不过以前修改主题的时候,倒是用base64解码过footer.php
@Mucid, 网上说写入Wp-config也是一个比较常见的攻击手段,只是刚开始我没仔细检查
清除了就好,呵呵。
有时数据库也会被污染的。常备份吧,xml格式导出也不错。
突然挖出来这样一个坟,令我吃惊。9年了过去了域名还没变,难得
哈哈,我也被你吓一跳,以为是哪儿的资料呢。