11月17日,Tony微信告诉我博客不能访问了,我一看被植入了js木马。
回想了一下11月4日还写博客来的,当时没有什么问题的。
赶紧问服务商有没有备份,最近的备份是哪天的?得到的答复是只保留最近3天的备份,找到最早的是11月14日的,可惜那时候已经被黑了。数据库和程序都被动了。
看了一下本地的备份,最近的是3月份的,也就是说半年多的博客要丢了。
头大,但工作挺忙,也顾不上了。
第一个念头就是,搬回阿里云,只要有付费的每日备份。
碰到青云有个双十一的活动,就随手买了个Linux的上海主机。正好也需要备案,就没急着捣鼓。等到了周末暂时利用新主机上的MySQL数据,看了一下被植木马的数据库,发现规律就是每篇文章都在结尾加入了一串javascript代码,同时站点的home和site的配置项都被改为木马的网址。
于是心里一喜,果断的写了REPLACE替换,清除了木马。
此时有了信心,拿起我的BeyondCompare文件比较利器,对WordPress程序与原版程序作了对比,发现不少上传的php文件,还有无后缀的木马文件。同时发现了被修改的程序文件,就这样逐渐的把程序的木马也清理了。
此时备案还在进行中,就在原来的国外主机上进行了程序和数据库的覆盖,当然了本地也保存了备份。
果然,网站正常了。欣喜的告诉小伙伴们,大家非常期待我分享如何清除木马的。
我还是比较谦虚的,希望等几天看看,是否还有未清理的木马,不然分享就是给自己丢人。
果不其然,替换后的第二天,程序又被植入了木马。
干净对虚拟机下的其他站点目录都进行了清理,还删除了几个漏网之鱼。
这下基本上放心了,此时备案也快完成了。
于是在新主机上玩BT宝塔,对服务器安全、网站目录、端口放行、SSL证书、WordPress二级目录下的伪静态等全部研究了一遍。
昨天,改了DNS,指向到了新主机。
老主机的数据全部删除了,希望在新主机上,在宝塔的协助下,能够安全不被黑。
这篇作为流水账,下次分享详细的木马清理过程,还有WordPress文件目录安全设置和伪静态的相关内容。
