作者sideshowbala (SideshowBala)
看板PHP
標題[請益] Wordpress網站不斷被駭
時間Sat Feb 11 23:18:48 2012
最近開我的Wordpress網站會讓Avast和小紅傘掃到木馬
後來發現是我的functions.php結尾被加了幾行<script>
只要把那幾行移除網站就恢復正常
不過重點是移除完,過沒多久那幾行又會被加上去
實在不知道該怎麼辦,網站流量最近跌得很誇張
FTP密碼換過了,還是繼續發生
懇請專人給予指點。 <(_ _)>
PS. functions.php多出來的幾行長這樣:
http://pastebin.com/zkduz4jA
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 74.176.94.13
1F:推 whatai:XSS攻擊? 02/11 23:48
※ 編輯: sideshowbala 來自: 74.176.94.13 (02/11 23:59)
2F:→ guardlan:PHP Script Injection Exploit in WordPress 02/12 02:29
3F:推 alfadick:wordpress真的是個很爛的東西, 一天到晚有漏洞 02/12 11:55
4F:→ alfadick:真的是莫名其妙, 把程式寫得安安全全的有這麼困難嗎! 02/12 11:55
5F:→ alfadick:板上一堆高手都不會一直寫出有漏洞的code啊, 囧 02/12 11:56
6F:推 s25g5d4:照你這麼說 Windows也是個很爛的東西 一天到晚有漏洞 02/12 12:31
7F:→ s25g5d4:PHP也個很爛的東西 一天到晚有漏洞 02/12 12:31
8F:→ LaPass:沒漏洞很難,因為就是會有人的邏輯跟自己不一樣 XD 02/12 14:40
9F:→ LaPass:大概只有功能非常簡單的作業等級的程式才會沒漏洞吧..... 02/12 14:42
10F:→ LaPass:只是,就算是作業,也沒人會把那些安全防禦全部弄上去吧? 02/12 14:42
11F:→ LaPass:大概在十幾年前,hinet提供的留言版,在輸入的文章中加個 02/12 14:43
12F:→ LaPass:<body bgcolor="...." > 如果背景是空白的話,就可以直接把 02/12 14:44
13F:→ LaPass:別人的留言版的背景顏色給換掉耶。現在的「作業」的功能跟 02/12 14:45
14F:→ LaPass:那種等級差不多吧 等級 02/12 14:46
15F:→ LaPass:有人去做防禦了嗎? 02/12 14:46
16F:推 carlcarl:寫得安安全全是真的很難....... 02/12 18:12
17F:推 EROS4:罵wordpress真的是很莫名 免費的還要被嫌 02/12 21:39
18F:推 liaosankai:期待alfadick寫出沒漏洞的東西,讓大家能學習如何做到 02/12 22:36
19F:→ arrack:最難的就是沒漏洞了... 02/13 10:15
20F:→ arrack:opensouce的本意 就是讓大家一起改進... 02/13 10:15
雖然好像有點聊開了,
不過還是附上一下自己的解決辦法:
第一個是把感染的functions.php用原本主題的functions.php替代,
(後來發現原來多出來不只幾行,多了一兩頁吧 XD)
我想應該是這步解決大部分問題。
不過執行上步之前,我也有下載一個WP外掛叫HTML Purified,
這是防留言系統的漏洞的樣子..(對不懂coding的人只好依賴外掛 XD)
但我想最主要的解決方法應該還是第一步。
希望接下來不會再發生問題了。
※ 編輯: sideshowbala 來自: 98.92.94.55 (02/14 01:50)
21F:→ sideshowbala:喔,也很感謝各位的幫忙! 02/14 01:53
22F:推 streitleak:如果你是functions.php這個檔案被加入語法 02/14 21:53
23F:→ streitleak:你的問題就在於 為何你的檔案可以被瀏覽者寫入?y 02/14 21:54
24F:→ streitleak:如果你是用虛擬主機的話 應該是沒辦法改apache的設定檔 02/14 21:55
25F:→ streitleak:如果是實體主機或是vps 你就可以把apache預設的用戶改 02/14 21:56
26F:→ streitleak:只要能讓php跑就好 02/14 21:56
27F:→ streitleak:最怕的是 是別的用戶被人塞東西 然後其他用戶受到影響 02/14 21:57
28F:→ streitleak:這種狀況下 你還是換台主機商吧 因為這主機商的安全 02/14 21:57
29F:→ streitleak:控管很糟糕... 02/14 21:57
30F:→ streitleak:但如果是你跑了functions.php後 你在瀏覽器上看到的話 02/14 21:58
31F:→ streitleak:那可能是被SQL injection了 這個就要想辦法補強程式 02/14 21:59
32F:→ streitleak:不論哪一種 都要儘快處理會比較好 不然google會把你 02/14 22:00
33F:→ streitleak:列入黑名單喔 02/14 22:01
34F:推 LaPass:到底是怎麼入侵的啊.... 我看了wp的原始碼看不出來 汗.... 02/14 22:09
35F:→ sideshowbala:我是用虛擬主機 跟一堆人共用 當初有跟主機商聯絡 02/16 07:54
36F:→ sideshowbala:但只收到一封很制式的信教你怎麼加強防毒 Orz 02/16 07:55