1. 姓麦的胖子首页
  2. 网站

记一次WP排毒经历

屋子还是要时不时扫一扫,不然谁知道会长出啥来……

经常拖更的一个后果就是,网站放了很长时间都懒得去管,直到有一天,再想上去的时候,发现首页莫名其妙的被篡改了。

一开始以为是虚拟主机被人入侵了,不过密码和账号都完好,登上去之后也没发现任何异常。登陆到阿里云控制台查看,发现虚拟主机的CPU占有率一直是100%。尝试了几次恢复到之前的硬盘快照,都只能暂时恢复,没过多久,首页又会被篡改。

在虚拟主机中运行top命令查看所有进程,发现了问题进程,强制kill之后没过多久又会回来,无奈实在找不出自动运行的脚本的信息。无奈之下,通过阿里云的云盾功能,发现了在WordPress的uploads目录下,多了一个UltimateMember的文件夹,uploads文件夹出了是默认的图片上传文件夹,一些插件也会自动创建一些文件夹来存放图片文件。不过这个目录下的文件实在是可疑。

在网上搜索了一下之后,发现UltimateMember插件的确是爆出过安全漏洞,可以通过上传一些含有恶意代码的图片来获取系统控制,那个重新定向我主页的文件正是由此而来。

接下里的事情就好办了,这个插件本身也用不到(都忘记是为啥装的了),删除之后,删除了涉及到的一些文件夹和文件,一切恢复如初。

事实证明,没事勤备份磁盘创建快照是多么有必要啊!

原创文章,作者:麦胖,如若转载,请注明出处:http://www.fatmike.net/wordpress-malware-removal/

发表评论

电子邮件地址不会被公开。 必填项已用*标注

QR code