被染毒的WordPress主机不仅会被恶意上传大量木马PHP文件,还会以注入方式将恶意代码追加到你正常的PHP文件中。借助一个存在漏洞的旧版插件,黑客可以做到反反复复反反复复反反复复感染你的主机。
广受欢迎的contact-form-7,nextgen-gallery等插件都曾爆出大量漏洞,一用既傻眼。感染后的主机转变成僵尸机,既然可被恶意远程操控,也可以利用网站本身用户再次传播病毒。
不及时更新插件和WordPress版本的主机,是最受黑客欢迎的。
清理步骤:
1、 彻底删除本机静态缓存文件目录后,做全站文件和数据库备份。
(不清理本机静态缓存文件会导致全站备份时间过长,且静态缓存文件目录也有残余恶意代码文件的可能)
2、 在本地释放全站备份,并下载最新版WordPress代码,除了wp-conter目录和根目录下wp-config.php之外,其他的WordPress文件一律删除。先保证这部分WordPress文件是官方干净的版本。
3、 对服务器所有文件进行染毒代码检索,忽略文件扩展名按病毒特征代码进行查询,并删除加密的恶意PHP代码文件。
4、 在本地虚拟机或调试环境,安装Wordfence Security插件对恶意文件进行扫描。
5、 下载Web server的错误日志,观察异常报错。对于日志中连续请求PHP文件的IP,尤其非WordPress文件,主题目录下的PHP文件报错,很可能来自于利用漏洞上传的木马文件,需要高度关注。日志分析找一个趁手的工具可以事半功倍。
6、 下载web log判断攻击文件所在,尤其对网站主题代码需要注意审查。wp-config.php、主题文件等,被病毒代码注入概率极高。
(存储目录被恶意上传的PHP木马)
(网站插件被注入恶意代码)
7、 网站无用插件一律移除,必要插件直接删除目录(存有独立数据库或配置文件的应单独备份),避免感染代码二次被运行。并下载最新版释放到插件目录。
8、 变更服务器从数据库到全站用户的密码,尽量使用WordPress生产的复杂密码来登录。
9、 安装登录验证码插件、登录日志插件、多次登录失败拦截的IP插件。
10、 检查服务器是否开启了不必要的PHP函数,如有请关闭。
确认无误后再上线修复后的全站代码。最后,无运维的网站被攻击的概率极高,请务必及时更新服务器软件。
彻底杀毒后的服务器后台。