[已解决]个人网站被植入恶意代码事件 | WordPress遭遇服务器端Darkleech注入,iFrame指向servepics.com、myftp.org、myftp.biz

[已解决]个人网站被植入恶意代码事件 | WordPress遭遇服务器端Darkleech注入,iFrame指向servepics.com、myftp.org、myftp.biz

简单记录一下吧,网站最近连续两次被植入恶意代码,神奇的是每次都出现后又自动消失,若不是Chrome浏览器的提示和Google Webmaster Tool的记录,我根本就意识不到,下面依次说说遇到的问题。

 

第一次发现问题

2014年11月16日 – 起因是我用Chrome浏览器查看自己网站时发现某个文章页面会被浏览器阻拦并且提示网站可能感染恶意软件,通过谷歌站长工具(Webmaster Tool)的检测结果来看其中恶意代码的样本,是被植入iframe然后链接指向某网站,该网站是“著名的恶意网站”(天资同学这样描述)。但是我打包下载整个网站都没有找到包含此段恶意代码的文件,因为找不到恶意代码,我向Google申请了重新检查网站,过了一天再用Chrome浏览器访问那个页面时已经不会被提示感染恶意代码了。本以为这就完事了,结果还有第二次。。。

截图是来自Google Master Tool的安全问题提示:

[已解决]个人网站被植入恶意代码事件 | WordPress遭遇服务器端Darkleech注入,iFrame指向servepics.com、myftp.org、myftp.biz

 

第二次遇到同样的问题,但问题更大!

2014年11月28日 – 继几天前网站被感染后解除危险警告的事情后,早上发现又被Chrome提示网页感染恶意代码了,好家伙!~随便打开个页面就被浏览器提示页面可能被感染恶意代码,这回是所有网站的文章全部被感染,查看样本代码,依旧是通过iframe植入的恶意链接,可是我依旧翻遍了整站内容页没有找到这些恶意代码(其中在排除问题的时候用cPenal自带的病毒扫描工具扫描过程中还误报了我曾经写的纯静态页面,后来经过多次测试这是误报,我那几个demo目录下的静态页面没有问题,但如果现在扫描的话依旧会误报,因为我用了unescape加密技术),之后,相当于我什么事情都没有做,谷歌用了一天的时间用云服务器扫描我的网页后,又解除了警报。

 

我遇到的恶意代码都长什么样?有什么作用?

所有恶意代码都指向这三个域名中的一个或几个:servepics.com、myftp.org、myftp.biz

恶意代码#类型Malware code injection:

恶意代码#类型Error template injection:

 

至于以上恶意代码对于期间访问我网站的访客有什么影响,怀揣着忐忑的心,我打开了电脑中平时不用的金山毒霸(之前裸奔来着),抖擞的直接复制链接放浏览器中打开了那些恶意链接中的网址,然后看到的是无法访问的页面,浏览器也没有下载任何东西,之后我还用金山毒霸狂扫了两遍本地硬盘,事实证明,没啥影响。

我把上面那段话删除是因为随着我研究的深入,我发现恶意代码其实不是面向所有访客的!关于具体作用见文中的【后续2】

 

之后我做了什么?

对于这种自动出现又自动消失的恶意代码来说,我只能说我暂时没找到什么好的解决方案,不过从谷歌站长工具提供的报告来看,很可能是黑客利用了我在用的某些插件中的漏洞然后试水的,所以屏蔽某些很久没有更新过的插件可能是个好方法,但纵观我用的那几个老插件,感觉都比较实用,所以我只是安装了一个新的安全插件,不知会不会对此类事件有所效果,之前都一直不用安全插件的。

顺便分享一个代码检测的在线网站:Sucuri SiteCheck(扫描结果和谷歌站长工具一样)

 

后续1#看样子有很大可能是误报!

2014年12月7日 – 第三次被谷歌提示感染了,依旧找不到恶意代码,我现在怀疑是误报,谷歌站长工具提示的恶意代码其中有一个是在这个Easy FancyBox插件的一个JS文件中,但我根据代码样本依旧没找到恶意代码,在网上却查到两年前就有人发生过类似的问题,插件原作者回答说是误报,原帖地址:https://wordpress.org/support/topic/malware-in-this-plugin?replies=5

我已经给插件作者留言,等待结果吧。(现在想到的解决方案是,如果作者没有回复我,我会先找个插件替换掉Easy FancyBox,然后再观察一段时间。)

 

后续2#第三次遇到问题,以及恶意代码对访客的影响说明

2014年12月7日 – 第三次被谷歌提示感染了,依旧找不到恶意代码,经过搜索得知,我遇到的这种恶意代码叫Darkleech,是感染在服务器端根级的恶意代码,黑客通过替换原服务器的SSH二进制内容来准备好后门来达到“即使服务器管理员更改密码也不能阻止黑客登入”的目的。

原话引用自:Darkleech + Bitly.com = Insightful Statistics

The servers are compromised at a root level, and in most cases hackers also replace all SSH binaries with their own versions that contain backdoors. This allows the hackers access to such servers even if the server owner changes root passwords.

恶意代码只会出现给非常少数、通过搜索引擎进入的访客,这样做是让人们不容易察觉到它,怪不得我直接打开恶意代码指向的链接并没有出现任何问题,并且访问到的是无法访问的页面。这也就解释了为什么Google Master Tool每次可以检测到恶意代码而我自己却找不到的原因!!

所以目前我保留结论,我没有真正见到恶意代码的影响,所以我不敢说有什么影响。至于访客的安全问题,请看我网站的人不要随便打开弹出的链接(如果恶意代码不幸在你这生效了),只要不点击就没事,而且我的网站是不会放置弹窗内容的。

 

最终解决方案:后续3#换服务器解决问题

2015年1月3日 – 半个多月前更换服务器彻底解决了问题。

最后一次发现问题后,我向空间服务商提出更换主机,之后的每天里谷歌也从不同国家地区的服务器来访我的网页,但是再也没有提示过感染恶意代码类似的问题。所以问题还是出自服务器端的。也建议有类似问题的站长最简单的方法就是更换服务器,因为空间服务商能不能解决这个技术问题还是个问题,而这个问题,本来也不应该由我们客户去操心。

 

</catmee> 文章全部原创、谢绝转载,作者「BianLei」,如果喜欢欢迎分享链接,相关内容参见本站版权声明
如果您觉得本站的存在对您多少有所帮助,可以用手机支付宝扫一扫以下二维码支付任意金额作为支持:支付宝
本站相关:QQ空间 | Facebook
Tagged . Bookmark the permalink.

网站排名怎样优化?百度SEO心得
网站排名怎样优化?百度SEO心得

怎么看一个网页的大小?比如一个页面占多少KB、MB?
怎么看一个网页的大小?比如一个页面占多少KB、MB?

虚拟主机哪个好?那些年我用的国内外免备案虚拟主机及VPS推荐
虚拟主机哪个好?那些年我用的国内外免备案虚拟主机及VPS推荐

涨姿势了,FTP“读取目录列表失败”原来是要改客户端设置
涨姿势了,FTP“读取目录列表失败”原来是要改客户端设置

还在找最便宜的虚拟主机?对比几个性价比高的国内外虚拟主机及VPS
还在找最便宜的虚拟主机?对比几个性价比高的国内外虚拟主机及VPS

COMMENTS: 8

  1. songslee says:

    我最近也遇到和你一样的问题,不知道怎么解决呢。。。

    • BianLei says:

      误报可能性很大。你有用谷歌站长工具吗?如果有,你的是提示哪个插件的问题?

    • BianLei says:

      哥们,我觉得谷歌已经疯了,开始扫描我一年前删除过的内容并且标记为有恶意代码,还指出了恶意代码的样本!太特么神奇了,误报无疑,我在master tool申请了N次了,谷歌人为审核通过N次,机器再标记为有恶意代码。。。不知这闹剧要到啥时候

      • songslee says:

        这么说吧,我和你的症状是一模一样的!

        出症状的时候是右下角会出现广告(我所遇见的),查看源代码发现是iframe 框架,内容与google报告的代码一致!所以,不可能是误报!

        可恶的是,这个代码是不定时插入的,根本找不到源头。。。网上说可能是functions.php遭到恶意注入代码,但我检查了,没有问题。。。

        目前我的方法是追一停用插件,一天一申诉,最后不行了,只能重装WP了。。。

        如果你有新的动态记得在这留言分享一下!

        • BianLei says:

          这是最近第三次被谷歌报告……
          确实像你所说的是“不定时插入的”,而且不容易被发现,因为它会玩消失。
          至于检查文件,我放弃了,因为我下载到本地检查所有更改日期比较近的都没有找到有问题的。

          顺便问你个问题:
          1)你遇到的恶意代码也是指向servepics.com、myftp.org、myftp.biz这些域名的吗?
          2)有没有安装安全插件?(我不知道这东西好使不)

          PS:看我后续2的更新……

  2. songslee says:

    先回答你的问题:
    1、google提供的可疑片段里都有这三个网站,可恨!
    2、暂时没安装,看到你的续2,估计装上也不会有效果的。。。

    按照你的线索,是不是应该联系一个空间商,让他们协助我们呢!

    另外,如果重装WP会不会解决问题!?

    多亏找到同样点背的博主你,让我觉得不是一个人在战斗,有新的进展一定要第一时间在这里公布啊!

    • BianLei says:

      重装WP不会解决任何问题。。。代码被注入的时候你的文件是包含恶意代码的,但消失的时候你的文件又是不包含恶意代码的,而且文件修改日期不会改变,所以我觉得被插入的代码很可能是以外挂形式加入的,服务器端的问题。果断联系空间服务商……
      哈哈,是够“点背”,我之前用的香港空间很不稳定,但没出过恶意代码这种问题,现在的空间服务商很给力,可是又遇到这种问题,真是……&*#¥

Comment Anonymously? No Problem! | 可以匿名评论了我会说?

Fill up Email address to subscribe reply and display your avatar from Gravatar (If any)
填写邮箱即可显示您在Gravatar的头像