我知道最近大家都聽説了老版本的 WordPress 被攻擊的消息。如果你還沒有升級你的博客到最新最好的 WordPress 版本,現在就花點時間這麼做吧。
不要像我一樣愚蠢的關閉它!是的朋友們,我自己的站點 Ask The Admin 被黑客攻擊,這應該是我能夠補充的很好的方法了。
我將要向你們展示怎麼找出我被攻擊以及如何修復。
首先我的 AskTheAdmin.com 賬號因為在主機服務器的某個目錄下發現了惡意腳本被通知掛起,我的主機服務商告訴我在我的主機上發現兩個惡意腳本,它們是:
http://asktheadmin.com/wp-includes/images/Luxury/pss.php
http://asktheadmin.com/_vti_doc/pss.php
這是我知道我的 WordPress 博客被黑客攻擊了。我那時剛剛讀到舊版本 WordPress 的漏洞問題我以為他們會修改我的永久鏈接,不過他們完全沒有對我這麼做。他們通過另一種方式把我給玩兒了!
我立馬通過 ftp 登陸我的賬號刪除了腳本。然後我登陸 WordPress 查看用户模塊。
見鬼!突然之間管理員數量從兩個變成了三個。因為某些該死的原因控制面板上顯示的兩個管理員賬號都是合法的。所以他們不僅添加了一個管理員賬號到的我 WordPress 中,而且還設法隱藏來躲避不知情用户的眼睛。
所以我現在費了一番 Google Fu(就像是』 功夫』,不過沒那麼撲朔迷離) 。我發現用户名仍然在頁面上不過是隱藏的。所以我在頁面上點擊鼠標右鍵選擇查看頁面源代碼:
當我打開頁面源代碼時搜索我另一個管理員帳號的名字 – Michael 。然後我覺得直接使用 Adminstrator 這個單詞搜索會更好 – 這讓我找到了 html 代碼的正確位置。現在我看到了罪魁禍首:
這會找到首先我的賬號,然後是 Michael 的賬號,最後是 LewisLawson63 的賬號。這個是在我不知情的情況下添加的,並使用攻擊我 WordPress 博客的腳本隱藏起來。狗日的黑客!!不過在同一行是他們賬號的編輯鏈接。這個是需要你點擊的。
我需要做的就是從 HTML 源代碼中粘貼鏈接到地址欄的 wp-admin/ 後面。也就是説 http://www.asktheadmin.com/wp-admin 後面添加 / 和上述鏈接。這將帶你到用户的編輯頁面:
你看到 名字 裏面是什麼嗎?這裏的腳本好像昂有 10 行那麼長……全都是攻擊代碼。我移除代碼並用新的用户名代替,接下來將角色變成訂閲者。
現在他們就出現在列表中我能夠將它們刪除了!接下來在 WP 的控制面板中關閉允許用户註冊,如下所示:
然後再去備份我的網站。 (實際上我運行了 MySQL 查詢來查看有什麼修改以及查看插入我文章中的 iFrames) 。 into my posts) 原來他們竟然對我每篇文章動了手腳!媽的 媽的 媽的!很慶幸我每天都會備份。
我恢復站點到 3 天前的狀態 (那時候被攻擊) 。我丟失了一些文章,不過損害搞定了。他們可能會向您的讀者展示廣告或者更壞的東西!所以當心不要再犯同樣的錯誤了!下次你在看到:
乖乖聽話升級吧!