WordPress网站被入侵,劫持收录变乱分析
7.15,网站被入侵,但是直到7月17日,我才发现被入侵。16日,17日正常更新文章,17日查询网站收录数据时,在站长资源平台【流量与关键词】查询上,我发现了比较奇怪的关键词。
https://img-blog.csdnimg.cn/img_convert/929dfb598d2cf4749f98a3638bb640c7.png
乱码关键词排名
早先我并没有在意,以为搜索引擎抽风,也在群里还有一些论坛询问了这种情况。大部分都是说的编码的问题。但是我查询后,编码是没有问题的。而且首页都能正常访问。
但是直到我使用百度站长资源平台【抓取诊断】工具,我发现这次问题严重了。
https://img-blog.csdnimg.cn/img_convert/449f72dc09e44dca33537f9413abb818.png
百度站长工具抓取诊断效果
头部满是这种代码,这也表明网站100%被人入侵了。
查找代码
然后我查看了一下文件修改记录,发现 wp-bolg-header.php 这个文件在7月15日被修改过,而且也符合头部插入上图超链接的条件,点击进入查看。
https://img-blog.csdnimg.cn/img_convert/a2368094f9798a048ab729bc4d6be326.png
wp-bolg-header.php 被入侵之后
上面多了这么一段代码,早先我不知道这个代码有什么用,删除之后,在使用诊断工具,上面的链接就没有了。
然后我根据这个代码找到服务器 tmp/.ICE-unix 这个目次,里面存放了命名为 0 的文件。
打开这个文件后是这样的。
https://img-blog.csdnimg.cn/img_convert/0e1ac9d244e33cd445f50ca2e80c2adb.png
0 文件的内容
因不懂代码,看出大概意思可能是当搜索引擎抓取就让蜘蛛抓取谁人网站。(上面加马赛克的X站链接)
收录劫持确认
颠末论坛网友八公子的科普,相识到这个是 劫持收录
百度收录抓取快照的时候,其实是快照了这个文件里面网址的内容
所以你的网站有收录 也是收录他网址的内容 一般都是一些违法的内容 这玩意 十多年前就有人做了
假如发现类似的文件。 自己查查百度模仿抓取。 假如不是你的网站内容 那你就被劫持快照了。
当确定被入侵之后,我其时唯一想的就是,他是怎么入侵进来的?怎么将这些文件放入服务器的?其他网站有没有被入侵?(服务器多站,厥后查询,其他网站也被更改。)
安全补救
我的服务器其实是有安装云锁,但是因为时间的缘故起因,一直没有自编译。当天连夜自编译云锁。
扩展阅读:自编译教程《云锁Nginx自编译教程,Nginx/Tengine ,宝塔云锁自编译》
使用云锁巡航,查询出一些可疑的文件,来自于在挖鱼网下载的 【WP Auto Post】这款采集插件,我猜大概就是这个插件的问题,直接删掉
随后联系了西部数码的技能人员,辅助我分析网站访问日志,但是和我料想的插件问题有些出入,但是西部工作人员的服务确实到位。
颠末西部技能员分析,怀疑可能是通过 WordPress REST API 内容注入漏洞Post,这个还必要相关专业人员分析处理。
反思
网站创建这么久了,其实服务器安全策略方面并没有做到完善,这也是自己的疏忽。云锁装在服务器快一年多了,都没有做过自编译。
WordPress 安全方面也没有去深入设置。
导致这次翻车。
这次也导致很多网站停更,浑身投入网络安全维护,毕竟涉及整个服务器的网站。
也在18号左右,SEO排名掉光了。可见收录劫持对一个网站造成多大的伤害。
虽然非难黑客窃取劳动效果,但是依然奉劝其积点阴德,不要去搞这些非法的网站了。
另外在后面我照旧会继续写一些安全防护的问题,完善服务器安全策略。
本文由五车二原创,转载请注明出处。原文地点:http://www.5che2.com/article/452.html
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]