记录一次 WordPress 范围性挂马事件

在写完《老俍给自己放了个长假》后,本来想好好把最近整理的一些文章发出来。万万没想到2019年3月19日的一封邮件引出了 WordPress 范围性挂马事件。且听老俍细细道来~~

2019年3月19日23:55,一个在正常不过的晚上,老俍正在酣战(王者荣耀,差1星上王者)。接到邮件俍注新用户注册提示,当时没多想毕竟上单的压力(老俍的上单吕布还是可以的哦)还是很大的。邮件内容如下:

等仗也干完了,王者也没上去。返回头再看邮件感觉有点不对,我的俍注早就把用户注册关了,怎么能收到新用户注册的提示呢!!!但是已经快凌晨3点了,就没太管这封奇怪的邮件。(毕竟打王者荣耀很费眼睛)

第二天早上等我在想打开博客看看怎么回事,我去!!!什么时候我的英文水平变得这么好了(如下图),NM直接变成一个英文网站了!着NM明显是被挂马了。

顺便看了一下这个英文网站内容,这不就是信用卡代还服务吗!中国俗称“养卡”。翻到这个英文博客目录列表,什么怎能用信用卡贷款买车,如何恢复信用卡额度,有兴趣的可以去看看 http://mashina.com/mblog/ 。

我又看了一下这个博客的主网站(如下图) http://mashina.com ,好嘛!俄罗斯文的网站。着俄文的网站配英文的博客,就差个中文的论坛!不去管它还是先解决我博客问题吧。

我在登陆后台也进不去了~~变成了“您的链接并不安全”的提示页面,这一大早真是烦人。白天约了朋友谈事还不能整我这个博客,这一天耽误我多少流量。

下午回到家赶紧在十年之约 WordPress 博客群里问了一下如何解决这个挂马问题。没想到群里说今天这样的情况已经有三了个,而且这也才是一个群里,汇总了一下特征。

1、被挂马的博客都会跳到 http://mashina.com/mblog/
2、JS引用的网站都是 http://getmyfreetraffic.com/
3、都是19号零点左右,20号凌晨被挂马的

问题代码如下:

再次感谢十年之约 WordPress群里朋友的帮助,尤其是榆木帮我找出哪里代码的问题。

解决办法:

我把整站代码都给了榆木帮我查找问题,我自己也不能闲着呀,替换上了2019年1月的整站备份,结果还是会跳转。有意思了,从这个点分析,代码肯定是好的但是网站还是跳,一定是数据库里被改了东西。又联想到最开始收到的邮件,后台设置一定是被改过了,我直接登录数据库后台,果真让我看到了问题所在(如下图)。

正确的设置 home 和 siteurl 都应该是 http://my.lmcjl.com 但是进去的时候 siteurl 被改成了别的网址(当时没有截图)。没想到这么整了一下网站真的好了,赶紧告诉了榆木,也不用兄弟多费心了~~

从这个事情提醒我们,网站定时备份真的很重要。同时尽量做好 WordPress 博客程序的安全防护工作。在博友的推荐下我也安装了 《WordPress 隐藏管理地址插件:WPS Hide Login》,不管能起多大作用安上心里图个踏实。

推荐参考:《WordPress 如何防止被挂木马病毒

2019年3月27日更新
终于找到根源了!!!《WordPress 近20万站点被黑 插件漏洞再被利用

点击「WordPress」查看更多文章

本站 [ 俍注 ] 内除注明转载文章,其他均为老俍独立创作,采用「CC BY-NC-ND 4.0」创作共享协议。
原创不易,希望保留原文链接转载,原文链接:https://my.lmcjl.com/tech/yy/wp/3129.html

本文链接:https://my.lmcjl.com/post/13380.html

展开阅读全文

4 评论

留下您的评论.