作者sideshowbala (SideshowBala)
看板PHP
标题[请益] Wordpress网站不断被骇
时间Sat Feb 11 23:18:48 2012
最近开我的Wordpress网站会让Avast和小红伞扫到木马
後来发现是我的functions.php结尾被加了几行<script>
只要把那几行移除网站就恢复正常
不过重点是移除完,过没多久那几行又会被加上去
实在不知道该怎麽办,网站流量最近跌得很夸张
FTP密码换过了,还是继续发生
恳请专人给予指点。 <(_ _)>
PS. functions.php多出来的几行长这样:
http://pastebin.com/zkduz4jA
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 74.176.94.13
1F:推 whatai:XSS攻击? 02/11 23:48
※ 编辑: sideshowbala 来自: 74.176.94.13 (02/11 23:59)
2F:→ guardlan:PHP Script Injection Exploit in WordPress 02/12 02:29
3F:推 alfadick:wordpress真的是个很烂的东西, 一天到晚有漏洞 02/12 11:55
4F:→ alfadick:真的是莫名其妙, 把程式写得安安全全的有这麽困难吗! 02/12 11:55
5F:→ alfadick:板上一堆高手都不会一直写出有漏洞的code啊, 囧 02/12 11:56
6F:推 s25g5d4:照你这麽说 Windows也是个很烂的东西 一天到晚有漏洞 02/12 12:31
7F:→ s25g5d4:PHP也个很烂的东西 一天到晚有漏洞 02/12 12:31
8F:→ LaPass:没漏洞很难,因为就是会有人的逻辑跟自己不一样 XD 02/12 14:40
9F:→ LaPass:大概只有功能非常简单的作业等级的程式才会没漏洞吧..... 02/12 14:42
10F:→ LaPass:只是,就算是作业,也没人会把那些安全防御全部弄上去吧? 02/12 14:42
11F:→ LaPass:大概在十几年前,hinet提供的留言版,在输入的文章中加个 02/12 14:43
12F:→ LaPass:<body bgcolor="...." > 如果背景是空白的话,就可以直接把 02/12 14:44
13F:→ LaPass:别人的留言版的背景颜色给换掉耶。现在的「作业」的功能跟 02/12 14:45
14F:→ LaPass:那种等级差不多吧 等级 02/12 14:46
15F:→ LaPass:有人去做防御了吗? 02/12 14:46
16F:推 carlcarl:写得安安全全是真的很难....... 02/12 18:12
17F:推 EROS4:骂wordpress真的是很莫名 免费的还要被嫌 02/12 21:39
18F:推 liaosankai:期待alfadick写出没漏洞的东西,让大家能学习如何做到 02/12 22:36
19F:→ arrack:最难的就是没漏洞了... 02/13 10:15
20F:→ arrack:opensouce的本意 就是让大家一起改进... 02/13 10:15
虽然好像有点聊开了,
不过还是附上一下自己的解决办法:
第一个是把感染的functions.php用原本主题的functions.php替代,
(後来发现原来多出来不只几行,多了一两页吧 XD)
我想应该是这步解决大部分问题。
不过执行上步之前,我也有下载一个WP外挂叫HTML Purified,
这是防留言系统的漏洞的样子..(对不懂coding的人只好依赖外挂 XD)
但我想最主要的解决方法应该还是第一步。
希望接下来不会再发生问题了。
※ 编辑: sideshowbala 来自: 98.92.94.55 (02/14 01:50)
21F:→ sideshowbala:喔,也很感谢各位的帮忙! 02/14 01:53
22F:推 streitleak:如果你是functions.php这个档案被加入语法 02/14 21:53
23F:→ streitleak:你的问题就在於 为何你的档案可以被浏览者写入?y 02/14 21:54
24F:→ streitleak:如果你是用虚拟主机的话 应该是没办法改apache的设定档 02/14 21:55
25F:→ streitleak:如果是实体主机或是vps 你就可以把apache预设的用户改 02/14 21:56
26F:→ streitleak:只要能让php跑就好 02/14 21:56
27F:→ streitleak:最怕的是 是别的用户被人塞东西 然後其他用户受到影响 02/14 21:57
28F:→ streitleak:这种状况下 你还是换台主机商吧 因为这主机商的安全 02/14 21:57
29F:→ streitleak:控管很糟糕... 02/14 21:57
30F:→ streitleak:但如果是你跑了functions.php後 你在浏览器上看到的话 02/14 21:58
31F:→ streitleak:那可能是被SQL injection了 这个就要想办法补强程式 02/14 21:59
32F:→ streitleak:不论哪一种 都要尽快处理会比较好 不然google会把你 02/14 22:00
33F:→ streitleak:列入黑名单喔 02/14 22:01
34F:推 LaPass:到底是怎麽入侵的啊.... 我看了wp的原始码看不出来 汗.... 02/14 22:09
35F:→ sideshowbala:我是用虚拟主机 跟一堆人共用 当初有跟主机商联络 02/16 07:54
36F:→ sideshowbala:但只收到一封很制式的信教你怎麽加强防毒 Orz 02/16 07:55