一次Wordpress清除木马的案例

WP被挂马了

前期WP被放了一些垃圾文章,后来把文章和账号的问题处理了,以为就没事了,但是今天卡巴突然提示,有木马。

WP处理木马

看了一下,wp处理木马,一般两种,一是修改文件,二是修改数据库。

篡改网站文件

在网站被攻击之后种上木马最常见的方式是篡改网站文件,如WordPress的根目录中index.php文件,这个文件篡改之后会对全站造成影响,也有可能对主题的header.php、footer.php进行篡改,也会影响到整个网站,从而整站都会跳转。

解决方案,重装WordPress程序、重装主题,2种方式可以进行重装:

1.后台重装,WordPress主程序可以在仪表盘–更新处点击重装WordPress,WordPress主题若支持后台升级,可以在外观–编辑中将版本号改低,然后进入仪表盘–更新处进行更新。

2.ftp重装,下载最新的WordPress主程序和主题程序,WordPress安装包使用本地覆盖除了wp-content文件夹之外的所有文件,WordPress主题覆盖所有文件。

篡改数据库

数据库的篡改,会将木马代码录入到你的数据库中,而这些数据会被调用在页面上,以WordPress为例,一般的木马会录入到你的WordPress页面、文章中的正文,这种方式比较隐蔽,很难被发现,并且如果文章数量较多,影响的页面和文章数量也非常大,造成首页、分类目录、归档页、搜索页不会受影响,而只有文章、页面受到影响,在没有查明木马的位置时,具有非常大的隐蔽性,甚至有的木马非常聪明,从cookies判断是否弹出过页面,若弹出过页面就不再弹出了,给我们检测造成错觉,更加难以找到木马位置。

解决方案:在会弹出的页面(也就是被感染的页面)空白处:右键—查看源代码,在源代码中ctrl+f 搜索弹出的目标链接,如果搜索不到,可以搜索<script 查看所有的脚本,是否有非常陌生的脚本外链存在,点击脚本链接打开脚本检查是否有目标外链的存在即可检查到相关脚本。

前者已经在我更新5.2的时候处理了,之后把所有的主题全部删除重新安装。

数据库就有问题了。我搜索了一下:

果然有一段很可以的代码:
Snipaste_2019-05-18_23-02-57.png

代码全部的内容:
Snipaste_2019-05-18_23-03-46.png

代码的内容我没有分析,但是在PHPmyadmin中无法replace
Snipaste_2019-05-18_23-04-55.png

之后我把mysql文件导出来,在本地用notepad打开,把这段代码替换掉就ok了
Snipaste_2019-05-18_23-06-07.png

如果代码比较简单,可以直接用sql语句处理掉。

UPDATE wp_posts SET post_content = replace(post_content, '将木马的代码复制进来','');

别人的总结:

  1. 首先查找目标链接,如果是内置的脚本有可能会加密,也可以搜索目标链接的一些单词,如www.xxxx.com 搜索不到,可以搜索xxxx 。
  2. 目标链接搜索不到,开始查询脚本,源码中搜索“ <script ”,排除所有主题、插件的脚本,查看每一个脚本是否有目标外链。
  3. 查询到之后,注意木马位置,查看WordPress的编辑器文本模式、如果输出了自定义栏目,查看自定义栏目中是否带有木马代码,知道后使用sql语句清除,或者手动进行清除。
  4. 我们也可以借助第三方的安全网站或者软件,例如360网站安全检测,这里不做详细介绍,我们会在以后出一篇教程进行详细介绍。
最后修改:2019 年 05 月 29 日 10 : 15 AM

发表评论