今天,在某WordPress群,看到有人发布被骗的信息。原来是网站漏洞修复,没修复好,对方直接跑路了。然后,我意思性远程接手。经过一系列判断,最终发现:网站所有主题关键文件被篡改,多个插件关键文件被篡改;数据库中,网站后台地址被篡改、网站地址被篡改、新增三个管理员账号、所有文章被篡改为某网站统计js。由于网站只有文件备份,没有数据库备份。最终导致,网站无法恢复。
网站问题:访问网站自动跳转国外某链接,该链接会弹出Chrome通知选项。如果你点了同意,恭喜你,你得chrome将每隔10分钟收到五六条广告。
下面说一下整个判断过程:
网站文件
首先,看了网站文件,以及多个网站备份文件,发现都有被篡改的痕迹。随将之直接删除,继续下一步判断。判断方法为,查看文件名特殊的文件,比如index.php,看是否有被更改的痕迹。对方说2月份被黑的,基本上能判断个大概。
经过网站文件修复,发现访问网站前台跟后台,还是直接跳转国外链接。
数据库查询
接下来,利用adminer软件,登录网站数据库,进入wp_option表,发现siteurl跟home被篡改了,这就是自动访问前台跟后台自动跳转的主要原因,修改为正确地址。后台可以进入了,但过几秒,又会自动跳转。
接着发现,user表也被新增了三个用户,均为管理员。随之,将其删除,未发现网站恢复。
我几乎检查了所有数据库表,发现wp_posts表(文章数据),整个被修改,全部篡改为一个js地址,这也就是为啥会访问后台,过几秒自动跳转了国外链接。
跳转的过程,可以参考下图所示:
到这里,基本上判定无法恢复,文章等多个数据库被篡改。而且,没有任何数据库备份。
可能你无法想象,该组织在数据库中新增了一个用户,一个数据名;赫然写着:
To recover your lost databases and avoid leaking it: visit http://hn4wg4o6s5nc7763.onion/
大意上,如果你想恢复数据,请访问链接:http://hn4wg4o6s5nc7763.onion/。
到此,我告之对方无法恢复数据,毕竟没有任何数据库的备份。
上述地址是一个暗网,当我尝试用tor访问时,发现无法访问。谷歌了一下那个链接,发现有大约400多篇文章在说自己网站被该暗网入侵,并把数据库挂到了暗网售卖。
这里,我们猜测一下:对方通过SQL注入,获取了管理员权限,修改了各项链接;篡改了网站文件。
到此,文章结束。这里给各位推荐下该怎么保证服务器安全:
- SSH端口更换,或者仅允许某ip访问SSH端口
- 安装防火墙软件,防止被xss攻击,防止被SQL注入。
- 数据库密码与网站密码不同,并尽量复杂化。各种数字字母字符,长度大于16位。
- 及时备份网站,备份数据库
关于被黑后,网站的变化:
- 访问网站,自动跳转到一个php地址,分发给各种广告地址(通过Chrome通知发送广告)
- 如果你修复了首页地址及后台地址,随自动跳转到一个js地址,继续分发
这里,就不给出跳转后的地址了,万一你中广告呢。
原创文章,作者:古哥,转载需经过作者授权同意,并附上原文链接:https://iymark.com/articles/2074.html
微信扫一扫 
支付宝扫一扫 
评论列表(2条)
宝塔面板的保护应该有效吧
@太耀:测试下xss就可以判断了