该怎么形容这一次站点被“注入”、“篡改”抑或是“攻击”呢?只好印象派的形容为“透”。
或许有不少征兆,预示着站点漏洞和可能收到的威胁,比如第三方获取的Wordpress App:登陆更新过几次,然而就在昨天,刷新不出数据。或者是突然增长的访问量:误判为网站测速行为。还是Bing突然新增的几百条未知URL收录(全部是日语网页)。
结果就是早上发现本站(以下称“网站“)的异常跳转,访问网站经过中转后跳到了一个黄网(预览60s,续看充值的一种劣质欺骗网页),或者跳转其他无意义的垃圾站点。
开始以为是CF的问题,先断掉了CDN代理,无果。又百度诊病了一下,说CF线路部分地区打不开——这是实情,还有CF免费门槛低,劣质站点蜂拥而入——所言不虚。总之惴惴不安,恨不能立马停用CF。
后来联想到群组成员提示,可能网站被篡改,才注意到WP程序本身的问题,根目录许多异常的文件,在翻阅从没看过的相关日志:暴露出若干条请求本不存在的trust.php路径记录信息,即便不甚明白,也该要清理程序目录了。
于是尝试清理根目录几个多出的异常文件,无果。看来需要大换血,接着利用宝塔扫描出多个被判定为木马的文件,删除之。结果治标不治本,每一个文件都含有大量乱码。
一不做二不休,删除了页面文件,保留了数据库。接着官网下载了WP6.1.1ZH-CN最新中文版本,原来的Adam主题也不再启用,用了修改润色后的WP经典主题,也就是现在的“Twenty Twelve”。重新连接数据库,原文章信息都在,安然无恙。数据库应该没有被侵入。
此次判断要到危险篡改的原因可能有两点。
1,WP程序的App,谷歌商店已经下架,WP官方也不再宣传。不知这个第三方的版本是否真实泄露了某些东西。
2,WP主题,WP程序本身也提醒删除不用的插件和主题,这些都有可能造成安全隐患。故而此次使用了官方的经典主题。
这次的事故就告一段落,数据库未损坏。网站短暂的博客生涯得以延续。善哉。
