一个企业网站的所有页面全都跳转到首页,这是今天一位站长来找系统观察屋求助的问题。经过一番查找与折腾,系统观察屋解决了这个棘手的问题。觉得比较有代表性,分享出来给大家参考下,我相信对大家来说学习、操作的意义很大。
文章目录
隐藏
腾讯云告警
index首页文件
WP File Manger插件
宝塔面板
可疑用户
垃圾文章
其他小修补
黑客的目的
总结
腾讯云告警
首先是接到了腾讯云告警提示说:网站被黑了。我们进入宝塔的网站目录,在网站根目录看到以下几个新增目录和一个不常见文件:
adataappJSm.html这四个目录很明显不是 WordPress生成的,任何插件也不会生成这些名字开头的目录和文件。打开看到里面有 1.jpg 和 1.php 文件,打开 1.php文件,里面就一句话,意思就是执行 1.jpg,这是典型的黑客行为了,套路虽然老但还是好用的。
先删除这几个目录。
又在主题的 inunity 目录中发现一个 php文件行文可疑,删除掉。如果不确认是否有用,可以先备份,再删除(主题是官网购买的正版,应该不会有问题)。
这里提一嘴,建议大家选用腾讯云这样的大商家,有免费的主机安全服务,当主机被黑后会发布提示,让大家注意到。否则像本文中的站长这样的新手,根本不知道自己的网站被黑、被篡改了。
精选爆品专区 :
精选特惠活动 点击查看购买
腾讯云特惠产品专区点击查看购买
跨境电商店铺服务器 轻量应用服务器
腾讯云幻兽帕鲁游戏服务器 点击查看购买
更多腾讯云内容请看腾讯云专题
index首页文件
经过上面的清理,能看到的后门程序都被清理掉了。但打开任意页面仍旧跳转到网站首页。
怀疑是首页文件被加了“料”。在网站根目录打开 index.php,发现本来应该只有几行的文件(不超过10行),实际上却有 1000多行,header位置添加了很多 script 代码,只要打开网站任何页面都会跳转到某个灰色网站,明显是被黑了。
马上查找当前 WordPress版本,然后下载到干净的 index.php文件覆盖掉了旧文件。
再次打开首页,已经正常了。
WP File Manger插件
这个插件可以帮助管理 WordPress目录中的文件,但有个最大弊端是容易被黑客当做跳板黑进网站中为非作歹。
立即卸载插件,永绝后患,防止黑客再次以此为跳板入侵。
如果一定要用这个插件(比如虚拟主机),那么就即用即卸载。云服务器、VPS等只要用了宝塔面板,就自带可视化文件管理功能,不需要用这类插件,也不要用。
宝塔面板
这台主机虽然用了宝塔面板,也是专业版用户,但没有开启宝塔网站防篡改程序、宝塔加固程序,让黑客有机可乘。
如果开启了这两个功能,别说黑客,即使站长本人想删除、修改某个东西也不被允许,需要先去手动关闭才行。
可疑用户
在 WordPress后台>用户中,发现多出来2个 admin 的 WordPress 用户,用户等级还是最高级别 administrator,直接删除这2个用户。
垃圾文章
post 文章列表中被人发了一堆没实际内容的垃圾文章,搞不清楚对方的目的,批量删除之。
其他小修补
删除了 WordPress某些没用但可以被利用的文件,给宝塔面板加强了安全措施。
下面这些文章你可能感兴趣:
分享Wordrepss网站打不开的解决方法及宝塔面板安全设置
避免使用绿色版破解版和不更新的FTP软件
WordPress网站如何清除后门
解决CPU和负载长期100%满载的案例分享
WordPress网站是否需要部署安全插件
云服务器CPU使用率100%和系统负载高的解决案例
Wordfence Security插件安装使用教程
WordPress 安全插件 All In One WP Security & Firewall
WordPress网站是否需要部署安全插件
SiteGround Security插件保护WordPress网站安全
WordPress隐藏插件和主题路径的安全插件
WordPress限制重新登录次数插件
WordPress隐藏后台登录地址
黑客的目的
黑进来之后,黑客按照原来网站的内容克隆了一个首页,打开任何页面访问都能看到正常的网站内容,但都是网站首页。
在header 放了 JS代码,判断访客来源:
百度、搜狗、360、一搜蜘蛛来访,看到的是网站首页输入域名访问的用户能看到网站首页从搜索引擎的搜索结果页面来访的用户会被 JS跳转到灰色网站,如下图所示。这个套路使用在成千上万个“肉鸡”网站中,那灰色网站的流量很大,后面盈利也是自然的事情。
总结
经过初步分析,黑客很可能是从插件黑进来的,而且还不止一批人。有的黑进来用于发垃圾文章,有的黑进来推销自己的灰色网站,当然更多的是黑进来发垃圾外链的,五花八门。
还好这位站长没有使用破解版主题、插件,不然可能被黑的地方更多,想挖出来也更难。
从本文例子中就不难发现,黑客为了给自己下次访问留后门,进行了以下操作:
修改了 index文件添加了2个伪装成 “admin”的管理员级别(最高权限)的用户在网站根目录下放了好几个目录,上传了“一句话木马” 等 webshell在主题目录中放置了木马文件为了给自己多留个后路,真的是煞费苦心。
系统观察屋也给广大站长提个醒:建站要使用防火墙、防篡改、加固程序,否则被黑了还不知道。建议云服务器、VPS使用宝塔面板,并购买宝塔防火墙、宝塔网站防篡改、宝塔加固程序。
系统观察屋建议:宝塔面板适合新手、小白建站,支持Linux、Windows系统,点击直达宝塔官网注册账号并免费领取¥3188元专业版大礼包(专业版永久授权仅需1188元),新用户可享受0.99元体验7天专业版。
宝塔面板建议选择阿里云、腾讯云服务器
更多内容请看宝塔面板专题
点击查看网易云课堂《宝塔Linux面板新手入门教程》
这样才能安心地建站和营销。不然类似这样的情况太牵扯站长、业务员精力了,本来对建站、WordPress就不懂,再出现被黑的情况,更不知道怎么办。瞎搞又容易把网站搞挂掉,徒劳无功。影响网站SEO、影响企业营销。
结尾插播一句:大家如果有 WordPress安全方面的问题请联系我,可以提供力所能及的服务。
暂无评论内容