在写完《老俍给自己放了个长假》后,本来想好好把最近整理的一些文章发出来。万万没想到2019年3月19日的一封邮件引出了 WordPress 范围性挂马事件。且听老俍细细道来~~
2019年3月19日23:55,一个在正常不过的晚上,老俍正在酣战(王者荣耀,差1星上王者)。接到邮件俍注新用户注册提示,当时没多想毕竟上单的压力(老俍的上单吕布还是可以的哦)还是很大的。邮件内容如下:
等仗也干完了,王者也没上去。返回头再看邮件感觉有点不对,我的俍注早就把用户注册关了,怎么能收到新用户注册的提示呢!!!但是已经快凌晨3点了,就没太管这封奇怪的邮件。(毕竟打王者荣耀很费眼睛)
第二天早上等我在想打开博客看看怎么回事,我去!!!什么时候我的英文水平变得这么好了(如下图),NM直接变成一个英文网站了!着NM明显是被挂马了。
顺便看了一下这个英文网站内容,这不就是信用卡代还服务吗!中国俗称“养卡”。翻到这个英文博客目录列表,什么怎能用信用卡贷款买车,如何恢复信用卡额度,有兴趣的可以去看看 http://mashina.com/mblog/ 。
我又看了一下这个博客的主网站(如下图) http://mashina.com ,好嘛!俄罗斯文的网站。着俄文的网站配英文的博客,就差个中文的论坛!不去管它还是先解决我博客问题吧。
我在登陆后台也进不去了~~变成了“您的链接并不安全”的提示页面,这一大早真是烦人。白天约了朋友谈事还不能整我这个博客,这一天耽误我多少流量。
下午回到家赶紧在十年之约 WordPress 博客群里问了一下如何解决这个挂马问题。没想到群里说今天这样的情况已经有三了个,而且这也才是一个群里,汇总了一下特征。
1、被挂马的博客都会跳到 http://mashina.com/mblog/
2、JS引用的网站都是 http://getmyfreetraffic.com/
3、都是19号零点左右,20号凌晨被挂马的
问题代码如下:
再次感谢十年之约 WordPress群里朋友的帮助,尤其是榆木帮我找出哪里代码的问题。
解决办法:
我把整站代码都给了榆木帮我查找问题,我自己也不能闲着呀,替换上了2019年1月的整站备份,结果还是会跳转。有意思了,从这个点分析,代码肯定是好的但是网站还是跳,一定是数据库里被改了东西。又联想到最开始收到的邮件,后台设置一定是被改过了,我直接登录数据库后台,果真让我看到了问题所在(如下图)。
正确的设置 home 和 siteurl 都应该是 http://oneinf.com 但是进去的时候 siteurl 被改成了别的网址(当时没有截图)。没想到这么整了一下网站真的好了,赶紧告诉了榆木,也不用兄弟多费心了~~
从这个事情提醒我们,网站定时备份真的很重要。同时尽量做好 WordPress 博客程序的安全防护工作。在博友的推荐下我也安装了 《WordPress 隐藏管理地址插件:WPS Hide Login》,不管能起多大作用安上心里图个踏实。
推荐参考:《WordPress 如何防止被挂木马病毒》
2019年3月27日更新
终于找到根源了!!!《WordPress 近20万站点被黑 插件漏洞再被利用》
原创不易,希望保留原文链接转载,原文链接:https://oneinf.com/tech/yy/wp/3129.html
评论列表(16条)
学习一下,以后万一碰到知道哪里查。
我也收到了这个邮件,可是没在意,网站访问也正常。原来是有人在捣鬼。。
@老派:可能你的程序升级跟的比较快吧,我的还没升到最高级别呢。
及时升级WP,5.1好像很多人都中招了
@张波博客:一直懒得升,这下看来是必须升了。
@老俍:是的,能升级必须要升级
@张波博客:你现在升级到5.1.1的英文了吗?
@老俍:我的都是正常升级的,能升就升
我昨天也被挂了,修了一下好了,但是我又一想MDZZ还不如直接换了WP,也懒得再折腾了,随便给网站开了个防篡改的lua,我看怎么注入我。
@Rinvay:其实用啥都一样,只要是程序多少都会有漏洞。
先关闭注册吧。WP太有名了,树大招风。
@大致:可说呢!关闭注册了
难怪前几天你的站点打不开了
@重庆崽儿Brand:前两天还宕机了一次,多事之秋
这次貌似很多WordPress站点被挂马了
@左岸:是的,要不说是范围性挂马呢。