作者mousn (生命只是个假象)
看板MIS
标题[请益] Wordpress网站被攻击
时间Tue Apr 5 00:36:00 2016
第一次发文,想请教一下
之前公司网站用PHP + Wrodpress架站
没有即时更新插件,被Hack植入Malware
然後就被Chrome block掉....
Server是跟战X策租用,linux架构
主网域外加数个子网域 (已离职同事+外包)
已试过的处理方式如下
1.
参考
http://goo.gl/D8KH4F
使用此网站提供的php file to Scan all data
透过VirusTotal Scan还是有问题
2.延续上方
载回Server端主网域档案,使用扫毒软体(Dr.web Cureit)
移除有疑虑的48个php file
VirusTotal Scan一样显示有Malware问题
3.使用Wordefence插件扫档
有二个档案被扫出有问题 wp-conifg.php wp-includes/version.php
还在研究要怎麽删除有问题的code
4.另参考
http://goo.gl/O8GDrs
但该PHP档执行後扫不出任何有疑虑的档案
网站是前员工架的,有询问过但不愿意提供任何协助
外包商也仅愿意提供原始档
目前已先设白名单,限制IP可进後台,更改Wordpress的相关档案
经测试已阻断攻击 (之前砍掉有问题档案 & code後,又立刻被新增)
另请战X策Scan Server上的档案,除一资料夹内的.JS档有问题外,多数zip档都有木马
现打算舍弃主网域的网站,尝试救外包的几个子网域
主网域的index之後会挂一个自动转址到其它网域的档
不过爆肝一周後,进度还是很悲剧 Orz...
想请教各位先辈,是否能提供一些意见 or 解决方案
主网域如果另放一个自动转址的index.htm,Google那边送审会过吗?
若被hack,root内的其他目录是否也会影响到Google的判定?
无论主 / 子网域的档案,只要有问题,都会被VirusTotal判定有问题吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.164.16.89
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1459787762.A.36E.html
1F:推 kenwufederer: 直接重建一个应该最理想 04/05 01:04
2F:推 cem236321: 重建+1 04/05 01:22
3F:→ mousn: 已跟老板讨论,外包的二个网站要救,其他可舍弃 04/05 23:18
4F:→ mousn: 毕竟三个网站+一些活动宣传的小Page,却有6W多个档案... 04/05 23:20
5F:→ mousn: 一点都不是正常的情况啊啊啊啊!!! 04/05 23:20
6F:→ mousn: 现在打算在主网址设自动转址到其他网页,子网域扫毒後重上 04/05 23:24
7F:→ mousn: 因为是眼下最快的解决方案了...明天开始有新案子要赶 04/05 23:25
8F:→ mousn: 几乎抽不出时间再跟hack PK了... 04/05 23:25
9F:→ mousn: 只是不知道这样做能不能过Google审查这关... 04/05 23:27
10F:→ mousn: 到现在还是抓不到被影响到的code...大家真的要好好备份 囧 04/05 23:29
11F:→ kenwufederer: 你们有自己写功能吗? 04/06 01:26
12F:→ kenwufederer: 不然直接重建,备份资料库过去就可以了吧 04/06 01:26
13F:→ chang0206: 先整包tar下来/把要旧的网站资料汇出/开一个新的空间 04/06 09:10
14F:→ chang0206: 旧资料汇入 再来慢慢研究那些被骇的 04/06 09:11
15F:→ chang0206: 是说 你们有在接CASE,居然没有做每日备份? 04/06 09:11