其实是更为严重,因为该帐号的Shell权限被盗取,入侵者把该帐号下的几个站点都修改了。
首先说一下,这种修改,让站长都没有觉察到,因为他的目的是盗取流量,而盗取的不是普通的流量,而是搜索引擎过来,以及输入的错误网址被直接重定向到他所设定的网址,当然这个网址会让用户下载一个有害的代码。
最初是Google Webmaster Tools通知我的,大概有几个月了,我都没有察觉到有这个问题。因为这几个站点都是我女儿在用,我几乎都很少去看,也就没有在意。昨天有看到通知,就特别的看了一下。
首先我看得是.htaccess文件,即刻看到那些代码。
.htaccess文件中被插入了有关的代码。
插入点不是在行首,行首是一大段空格,然后是代码。类似下面的截图。
第一段代码是,任何来自搜索引擎的流量,都被重定向到指定网址了。
第二段代码是,错误信息处理,当网址不存在时,也被重定向到指定网址。
这样的结果就是,当手工输入正确网址,就不会发现这些修改。显示正常。
当我进一步查找入侵的痕迹的时候,发现了下面的记录。
有黑客获取shell权限后,直接到了WordPress的模板目录,删除了部分目录,修改了.htaccess文件,等等很多操作。我推断所删除的文件就是其获取权限的途径。
被删掉的那个模板名字叫做StripedPlus,其中有个东东叫做colourmod。
现在,已经不记得当时是从哪个网站上下载的模板了。
为了避免不必要的时间花在查找被修改的代码,David Yin把这几个Blog的文章都导出,然后新建了一个shell帐号,在那个帐号下,重装了WordPress,导入文章。也只使用默认的模板。
WordPress虽然好用,但是模板中混杂了php文件,实在是有够危险,因此,只有到可靠的网站下载模板,才能减少潜在的风险。