昨天发现博客后台莫名其妙多了两个主题,并提示我更新,若非如此我甚至都察觉不到它的存在…当然,我没理会直接将其删了,只是隐隐约约察觉不对。刚才,腾讯云发来短信:
WordPress 主机疑似被黑客入侵
【腾讯云】尊敬的腾讯云用户,您好!您的腾讯云账号(账号 ID:10002XXXX337,昵称:shephe.com)下的服务器:10.0.4.15 [Tencent],实例 ID:lhins-qfxxxx3y,地域:华东地区 (上海),时间:2022-08-22 19:41:47,检测到存在待处理的恶意文件:/www/wwwroot/shephe.com/wp-content/themes/choyu/data.php,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失,请前往主机安全(https://mc.tencent.com/VlOj5BWX)查看详细信息。
果不其然,检查系统发现又多了两个主题,几个插件…一看都是那种可以使用基础版本,须付费才能使用高级版的程序,给我的感觉是我这 WordPress 里面植入了一个类似于 2345 浏览器的那种流氓软件,它自动给我安插件、安推广程序,甚至会恶意修改我的文件——我 WordPress 系统下边所有文件的权限都被自己改成了 0777(可读、执行、写)!
思前想后,是怎样造成的呢?暂时没想起来啊…以及:Wordpress 被黑客入侵、挂马后怎么办呢?我先备份下数据库,观察观察再说~
关于为何中病毒、被挂马之后的现象以及应对方案,本文评论区的各位朋友已经例举了部分可能和思路,我个人推荐的做法是:
- 如果可以,回退快照,删除或尽量避免安装来路不明的程序;然后更新各种程序,并合理规划权限,修改密码
- 若无法回退,那就重装 WordPress,注意先备份你的关键文件:wp-content 目录、根目录下的 wp-config.php 等,当然,这些文件也要按 3 检查一遍
- 若不想重装,请首先删除那些恶意的主题、插件、文件;时间排序检查代码,查看最新的被修改过文件,若里面有奇奇怪怪的字符串请务必删除,它们一般会影响各个根目录下的 index.php 文件
- 清理完毕后回退数据库,更新权限、账户名密码、Wordpress 程序和服务器相关程序
- 推倒重来?我不推荐这么干,浪费时间
现在我来说说牧羊人本次中病毒的可能原因。
我手头目前有 4 台 vps,用的最长时间的是位于杭州的阿里云,也是本博客之前使用长达五年的主机;第二是上个月花了六十块撸的腾讯云特惠主机,在上海;另外有两台都在北美,分别是 RackNerd 和 Linode 的轻量级主机。前不久我在调配网站的时候,把这几个服务器都换了操作系统,并且安装了宝塔的破解版面板,是这个:
然后安装 WordPress,且除阿里云之外都安装了新的、英文的主题和插件程序。当然,我这些主题和插件都是正版的,大部分是可从 WordPress 官方直接安装的,且四台主机上的主题和插件以及应用之间没有完全重合,甚至有完全不一样的。最后,如你所见这四台服务器里边,除阿里云外,全部都中了病毒,多个网站后台出现了雷同的恶意插件、主题和乱码文件,并且网站会自动发布推广文章。
另外 WordPress 后台多了一个超级管理员:wadminw@wordpress.com,按此为关键词搜索,发现近期有歪果仁也中了它的道,你怎么看?我推测啊,本次中病毒的可能性从高到低有:
- 境外的黑客组织,暴力漏扫攻破了我的服务器系统——多年前我也遇到过
- 使用了带后门的服务器控制面板
- 使用了带后门的 WordPress 主题和插件
- 还有其他可能?
宝塔这种东西本身就一堆漏洞😂
非常不懂博友圈为什么非常推崇宝塔,这就是最大的安全隐患
除了80,443其他例如3306都不要开放外网访问
当然如你所说改成777就是脱了裤子等别人注马
服务器定时更新
wordpress定时更新