在我的博客友情链接里,橙小酱位于非著名作家木小透和著名爱情动作片明星仓井空之间,我不时的去逛逛看有没有什么新鲜事。最近我挺忙(lan)的,一直没有更新博客,今天上去看看的时候就顺便点进小酱的博客看看。结果就看到了这个:
作为一个多年以娱乐八卦混迹网络安全圈的天气预报员,我立刻在QQ上给小酱说了这情况。8点44分,在我上班一个小时后,她回了条信息:我还没起床,等我去公司。然后下午1点56分她发了条信息:怎么办?
我要了她的博客和主机用户名密码,然后开始分析。
网站是wordpress程序架在虚拟主机,看这情形,主机不大可能被黑,八成是自动扫描黑站工具干的。我开始怀疑是wordpress版本过旧造成的漏洞,于是把wordpress升级,结果不是。
我打开后台,后台全是乱码,好过分。靠自己的记忆找按钮,看设置,网站标题给改掉了。删除掉一长串东西,刷新首页发现还是没有恢复。
难道是改了数据库?我打开数据库搜索hacked,没找到,再看她的最新post,还停留在去年12月的最后一篇博客上,嗯,看来她也比较忙(lan)。
那么,就基本确定是插件和主题的问题了,我把插件禁用了,发现没有用。那么就确定是主题的问题了,我在主题的widgets栏里果然找到了一段 scripts代码。
https://drive.google.com/a/ptt.xyz/file/d/0B3F957A_8lkob0l3WkRwNTA5ZFU/view?usp=sharing
删除掉,首页恢复了,可是乱码依旧,不过看起来是原来博客的乱码,不是黑客的乱码。再细看设定,果然在语言选项里,居然把简体中文改成了某个阿拉伯文,这个真的隐藏的太深了!
至此,恢复完毕,不过遗憾的是因为要下班了,就没有详细看到底主题哪儿有漏洞。告诉她换个主题得了,惹不起躲的起。
评论