其实这次已经不是第一次服务器被黑了，之前也有过一次。最后也查到了被感染的病毒，也查到了病毒来源网站，把那个网站整个IP段都给Ban掉了, 总算清静了一些。 而这次被黑的是VPS上运行的Wordpress和Dokuwiki. 一直以来都运行良好，并未出现什么大问题。 怎么发现被黑了 最初是发现Wiki网站主页无法显示正常，只能显示网页头，里面内容都无法正常渲染。然后找到对应的index.php, 打开内容，发现被插入了大量奇怪的代码，然后在整个目录”grep -R”也发现了大量的文件都有相同的内容，其中就同时包括Wordpress和Dokuwiki目录，看到之后就惊呆了，本以为网站被黑还是小概念的事情，没想到现在已经成为标准和肉鸡了。 被插入的代码大概长这样 既然被黑了，自然就想到了，Digital Ocean应该会发相关的Warning邮件吧，一查GMail，果然，好几封相关邮件，而且Google也发了相关的警告，并把网站拉入了黑名单。邮件最早是在2/28号就已经发出了，只是没有注意到。网站带病毒裸奔了这么多天。 再次感受到了互联网的不安全，暴露在外网的服务器随时都有被黑的风险。 如何手工修复 WordPress手工修复参考了这篇文章 https://www.wpzhiku.com/what-to-do-when-wordpress-was-hacked/ 基本上大概相当于重装了。 Dokuwiki修复参考的是官方的upgrade教程 https://www.dokuwiki.org/install:upgrade 对相关目录权限也进行了修复 对网站进行简单加困 使用php scanner进行php的全站扫描，虽然有些文件误报，但还是好用的 https://github.com/scr34m/php-malware-scanner.git WordPress/Dokuwiki密码进行了更新，删除不需要的user WordPress安装了Wordfence, 虽然是免费版本，但已经基本够用了 可以自动/定时扫描目录文件，如果有文件改动会提示 如果有文件已经被感染，可以提示一键修复，并且有View/Diff功能，很赞 自动Block非法的登录IP 重新检查修复了Fail2Ban服务 安装了aide: sudo apt-get install aide 后继 功与防会一直延续，常在河边走，哪能不湿鞋。而且目前感觉并未完全清除所有的感染文件，今天又发现了几个Wordpress php文件被修改了，还好安装了Wordfence, 直接一键修复。生化危机的即视感，明显就是明完待继的节奏。 备份的重要性，再一次体现出来，在Digital … Continue reading 被黑网站如何起死回生