Posted in: IT

博客被黑

前几天博客被谷歌列入 blacklist,用火狐去访问时老是给出警告,奇怪的是我用 IE 或者手机浏览器访问却是完全正常的。(后来我才明白,这是谷歌特有的黑名单制度哇)。忍受了好几天之后,受不了啦,决定去修复一下。

网上好多人都是说这种现象可能是 .htaccess 文件被篡改了,我去看了下,完全正常。

然后,又看了 wp-config.php, wp-load.php, wp-setting.php,也正常啊。

问小张客服,回答说“主题被挂马的可能性很大”,让“换个主题试试”,但是换了主题,问题依旧~

既然我的页面总是被重定向到 xxxxx.com 网站,我把整个网站目录下载下来,然后用 grep 命令搜索 xxxxx.com 字符串,却啥也没搜到。像是幽灵一样的神秘。

最后找到老外的救星了:

仔细检查了一下 wp-config.php,终于发现在第一行后面有如下诡异的代码:

eval(base64_decode('Ul9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzd
 ...省略...
 ZnJvbGluZy5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9');

难怪用 grep 搜索不到了,现在黑客都学聪明了,居然把恶意代码加密了。那个乱七八糟的字符串解密之后果然就包含有 xxxxx.com 这个网站。

可是为什么我刚开始看 wp-config.php 没看出来呢?黑客也确实狡猾,这个代码虽然很长,却全部都是写在一行里面的,而且缩进很深,我的文本编辑器又设为不自动换行,于是这些代码全部躲在第一行末尾,我居然都没看到!

果断删除之,世界恢复清净。

可惜对于这个权限为644的文件,黑客究竟是怎么写入的,我还是不清楚哇 ❓


最后更新于 2020 年 12 月 31 日 作者 springwood

Comments (9) on "博客被黑"

    1. @jiechic, (1)及时把 wordpress 更新到最新版本(2)插件不要乱装(3)仔细检查wp-*.php之类的文件的权限

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注