木马屠城记

·


昨天,我的博客经历了一次惊心动魄的宕机过程。

本来一时兴起更新了一篇《为何懒人屎尿多》的博文,结果不晓得撞上了哪根枪,过一会儿再刷新就被Firefox报:欺诈网站。

虽然接受风险可以跳过提示,但莫名其妙天降横祸,我是纳闷得很。

难道是在某个博友群发言得罪了某人?

百思不得其解之下,开始艰难排查。

博客服务器是与博友周哥共同租用的,当下就登陆后台搜寻了一番,果然有线索了:

管理后台提示多个PHP文件疑似感染木马

SSH提示有风险(默认端口号未改、存在空密码账户、多达二十多万次的恶意登陆)

当下马上关闭博客,开始整改,关闭SSH的密码登陆,改为密钥登陆。

然后重新安装博客,先是备份了数据库和网站目录文件。

接着重新下载WordPress官方源码,部署上线。在这里反复出现一个问题:恢复数据库后,打开博客会走install流程,但配置了数据库信息后,进入后台发现并没有以前的数据。

也就是说,备份的数据导入不成功。

反复折腾几次,又进数据库后台看了下,发现可能是因为在安装wp时,数据表为避免重复就自动生成了新的后缀。

尝试在数据库管理后台将所有数据表删除,重新上传备份的数据库,然后在wp的config文件里手动将数据表前缀改为和数据库的一样,再刷新,正常了。

周哥的博客是typecho程序,之前完全没接触过。

先是下载官方源码传到服务器,然后还原数据库,然后安装,结果报500错误,查了好多资料终于发现,问题出现在这儿:

ty备份 要备2个东西 一个是数据库 一个是usr文件夹(包含主题插件等)

恢复的时候也要恢复两个东西才可以,但报错的时候完全没提这个事。

上传usr文件夹后,恢复正常。当然,这里是有隐患的,之前服务器里很多PHP文件被木马污染,照理说之前的旧文件应该全部不要,但ty非常奇葩又必须用以前的主题模板,否则报错,只能是后面再逐步调整了。

接下来,就是去Google申诉。

因为浏览器这个恶意网址风险提醒,是由Google在维护(安全信息由 Google Safe Browsing 提供)。按照网上的教程,登陆Google的站长管理后台,验证网站的所有权后,可以查看网站的风险提示。

查看了下,我博客的风险URL多达20多条,全都是伪造的诸如/2021/04/02/get-money.html 这样的链接。

经过逐一验证,这些链接都打不开。

于是在页面提交了审核申诉,今天一早,接到Google的邮件,告诉我:

Google 已收到并处理您的安全审核请求。Google 系统显示 chidd.net 不再包含指向有害网站或下载内容的链接。系统正在从您的网站中取消向用户显示的警告,这可能需要花费数小时的时间。

至此,问题解决。

 

《 “木马屠城记” 》 有 16 条评论

  1. obaby 的头像

    昨天刚要看,发现红了。
    强行访问,发现关站了。哈哈哈

    1. 陈大猫 的头像

      这还是这么多年来头一次,看来安全问题必须要高度重视。

  2. S̆̈ 的头像

    昨天也是,都没敢打开。

  3. S̆̈ 的头像

    验证码有bug,2+1=3无法提交,写了03才行。

    1. 陈大猫 的头像

      谢谢反馈,已取消了。考虑换成其他验证方式。

  4. Andy烧麦 的头像

    做站长好辛苦,更是看到博主过去10多年如一日,佩服

    1. 陈大猫 的头像

      10多年前精力旺盛,现在不行了,随缘更新。
      主要是很多话题不敢写、不想写,索性就不写了。

  5. Mr.He 的头像

    终于把验证码取消了,总是提示验证码错误。
    昨天还以为ssl证书过期导致网站打不开呢。

    1. 陈大猫 的头像

      本想通过验证码阻止一些机器人评论,但折腾半天没弄好,算了,放弃了。
      浏览的体验感更重要。

  6. 网友小宋 的头像
    1. 演员 的头像

      加个简单验证码应该很简单啊!wp教程很多的!

  7. 秦大叔 的头像

    被谷歌搞只算小事,要是被网安发现外链非法那就麻烦大了。

    1. 陈大猫 的头像

      确实,平安就好。

  8. 石樱灯笼 的头像

    最近看到好几个被攻击的个人博客。
    我更好奇服务器是如何被渗透进去的。
    《为何懒人屎尿多》那篇文章就这么牺牲了?

    1. 陈大猫 的头像

      事后复盘了下,大概率是之前用的Flat主题模板有漏洞。
      第一次被Google警告后,我立马删除了全部网站文件,然后下载WordPress官方源码部署安装,数据库和主题模板则用的以前的备份。
      结果恢复没多久,又被Google标记为欺诈网站。
      马上删掉主题模板,使用WordPress后台推荐的模板。
      再次提交Google审核,恢复正常至今。
      《为何懒人屎尿多》发布在博客后,本地的文档就删了,没作备份。而博客的数据库备份有时间差(每天深夜的自动备份),导致没能留下来。不过也没啥价值,都是写着玩的,当时针对的是山西那所学校处分晚上上厕所的学生那件事。事情已经过很久了,也不想再写这个话题了。

  9. 灰常记忆 的头像

    多做几种备份 这种事情我好像没碰到过

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注