木马屠城记

浏览:1132次阅读
29 条评论

共计 1092 个字符,预计需要花费 3 分钟才能阅读完成。

木马屠城记
木马屠城记

昨天,我的博客经历了一次惊心动魄的宕机过程。

本来一时兴起更新了一篇《为何懒人屎尿多》的博文,结果不晓得撞上了哪根枪,过一会儿再刷新就被Firefox报:欺诈网站。

虽然接受风险可以跳过提示,但莫名其妙天降横祸,我是纳闷得很。

难道是在某个博友群发言得罪了某人?

百思不得其解之下,开始艰难排查。

博客服务器是与博友周哥共同租用的,当下就登陆后台搜寻了一番,果然有线索了:

管理后台提示多个PHP文件疑似感染木马

SSH提示有风险(默认端口号未改、存在空密码账户、多达二十多万次的恶意登陆)

木马屠城记

当下马上关闭博客,开始整改,关闭SSH的密码登陆,改为密钥登陆。

然后重新安装博客,先是备份了数据库和网站目录文件。

接着重新下载WordPress官方源码,部署上线。在这里反复出现一个问题:恢复数据库后,打开博客会走install流程,但配置了数据库信息后,进入后台发现并没有以前的数据。

也就是说,备份的数据导入不成功。

反复折腾几次,又进数据库后台看了下,发现可能是因为在安装wp时,数据表为避免重复就自动生成了新的后缀。

尝试在数据库管理后台将所有数据表删除,重新上传备份的数据库,然后在wp的config文件里手动将数据表前缀改为和数据库的一样,再刷新,正常了。

周哥的博客是typecho程序,之前完全没接触过。

先是下载官方源码传到服务器,然后还原数据库,然后安装,结果报500错误,查了好多资料终于发现,问题出现在这儿:

ty备份 要备2个东西 一个是数据库 一个是usr文件夹(包含主题插件等)

恢复的时候也要恢复两个东西才可以,但报错的时候完全没提这个事。

上传usr文件夹后,恢复正常。当然,这里是有隐患的,之前服务器里很多PHP文件被木马污染,照理说之前的旧文件应该全部不要,但ty非常奇葩又必须用以前的主题模板,否则报错,只能是后面再逐步调整了。

接下来,就是去Google申诉。

因为浏览器这个恶意网址风险提醒,是由Google在维护(安全信息由 Google Safe Browsing 提供)。按照网上的教程,登陆Google的站长管理后台,验证网站的所有权后,可以查看网站的风险提示。

查看了下,我博客的风险URL多达20多条,全都是伪造的诸如/2021/04/02/get-money.html 这样的链接。

经过逐一验证,这些链接都打不开。

于是在页面提交了审核申诉,今天一早,接到Google的邮件,告诉我:

Google 已收到并处理您的安全审核请求。Google 系统显示 chidd.net 不再包含指向有害网站或下载内容的链接。系统正在从您的网站中取消向用户显示的警告,这可能需要花费数小时的时间。

木马屠城记

至此,问题解决。

 

正文完
 0
评论(29 条评论)
2024-09-25 11:29:56 回复

昨天刚要看,发现红了。
强行访问,发现关站了。哈哈哈

    2024-09-25 11:46:58 回复

    这还是这么多年来头一次,看来安全问题必须要高度重视。

2024-09-25 14:34:41 回复

昨天也是,都没敢打开。

2024-09-25 14:35:39 回复

验证码有bug,2+1=3无法提交,写了03才行。

    2024-09-25 14:56:19 回复

    谢谢反馈,已取消了。考虑换成其他验证方式。

2024-09-25 14:54:22 回复

做站长好辛苦,更是看到博主过去10多年如一日,佩服

    2024-09-25 14:57:02 回复

    10多年前精力旺盛,现在不行了,随缘更新。
    主要是很多话题不敢写、不想写,索性就不写了。

2024-09-25 18:20:48 回复

终于把验证码取消了,总是提示验证码错误。
昨天还以为ssl证书过期导致网站打不开呢。

    2024-09-25 19:20:11 回复

    本想通过验证码阻止一些机器人评论,但折腾半天没弄好,算了,放弃了。
    浏览的体验感更重要。

2024-09-26 01:49:59 回复

真难,关站把~

    2024-09-26 17:46:14 回复

    加个简单验证码应该很简单啊!wp教程很多的!

2024-09-29 11:24:00 回复

被谷歌搞只算小事,要是被网安发现外链非法那就麻烦大了。

2024-10-10 00:12:15 回复

最近看到好几个被攻击的个人博客。
我更好奇服务器是如何被渗透进去的。
《为何懒人屎尿多》那篇文章就这么牺牲了?

    2024-10-10 08:53:08 回复

    事后复盘了下,大概率是之前用的Flat主题模板有漏洞。
    第一次被Google警告后,我立马删除了全部网站文件,然后下载WordPress官方源码部署安装,数据库和主题模板则用的以前的备份。
    结果恢复没多久,又被Google标记为欺诈网站。
    马上删掉主题模板,使用WordPress后台推荐的模板。
    再次提交Google审核,恢复正常至今。
    《为何懒人屎尿多》发布在博客后,本地的文档就删了,没作备份。而博客的数据库备份有时间差(每天深夜的自动备份),导致没能留下来。不过也没啥价值,都是写着玩的,当时针对的是山西那所学校处分晚上上厕所的学生那件事。事情已经过很久了,也不想再写这个话题了。

      2024-10-12 01:10:07 回复

      评论回复邮件提醒也没了。

      WordPress主题这的确麻烦,主要是官方主题很难看,而且二次开发难度特别大,一般程序员根本受不了这个大工作量。

      我文章的本地草稿都是很久才删的,毕竟文字和配图也不占多少空间。

      高中这玩意,说也是屎尿屁。高中这玩意是考的又不是分配的,哪些学校声名狼藉本地人基本都一清二楚,考个烂民办县中那恶心就是活该,不值得讨论。我遇到当年没上高中的初中同学美滋滋大讲特讲他当时上专科学校的经历,我脑子里都一直回响着「这是傻逼吧」。

        2024-10-14 09:38:32 回复

        WordPress不复当年盛况了,现在的中文主题要吗是收费的,要吗都是很古老的。
        评论邮件功能已恢复,谢谢提醒。

2024-10-10 18:09:18 回复

多做几种备份 这种事情我好像没碰到过

2024-10-12 17:32:47 回复

反正我的博客长期有木马……没有两年也有一年了吧,不过它是那种偶尔挂点广告那种,

    2024-10-14 09:40:41 回复

    那还算比较良心的木马。
    我这个主要是涉及到被Google标记为欺诈网站了,非常影响体验感,所以必须得处理。

2024-10-14 15:09:00 回复

还是静态站点比较安全。

    2024-10-15 09:24:14 回复

    那当然了,只是静态站点的评论系统我始终不放心,我觉得还是掌握在自己手里比较好。

2024-10-15 11:54:01 回复

有时候是要注意下程序的漏洞。主要还是多备份,有问题能快速恢复。

    2024-10-15 21:28:52 回复

    代码小白,几乎不懂这些。以前还有时间慢慢摸索,现在感到越来越吃力了。

2024-10-28 11:13:07 回复

看起来动态博客确实麻烦一些噢,不过有些方面确实会更灵活。不过静态博客服务器都不用怎么备份,甚至我每次推送之前都是把那个目录 rm 的。

    2024-10-28 11:38:26 回复

    我挺羡慕静态博客。
    如果今后我博客再被木马攻击到无法修复,我会立马转为静态。