网站被植入挖矿木马

前几天注意到网站后台有些程序不是很正常,比如删除插件的时候会给出一个错误信息,但是插件也能被删除,后来注意到错误信息里有dynamic-dns.net的网址,就有点奇怪了,怎么会在wordpress里有这么个网站信息,然后再仔细看错误信息,有deepminer的字样,直接翻译的话,叫“深度矿工”,这个miner现在太热门了,因为各种虚拟币都是需要miner(矿工)来挖矿。

后来拿Wordfence来查,它也工作不正常。

然后今天发现,居然媒体库都无法以Grid方式显示了,只能以List方式显示。查了半天,后来把debug打开,

define( ‘WP_DEBUG’, true ); define( ‘WP_DEBUG_DISPLAY’, true ); 然后挨个去关闭插件找问题,也没找到原因。

随手就做了个网站的导出操作,算是临时备份,结果打开这个导出的xml文件,发现前面居然是这么一串东西:

这一看就是有问题了。

各种搜索了以后,确定是被挂了挖矿木马。

用xshell登录到网站上,使用grep -r “greenindex”命令查找了一下,还好就下面几个文件被做了修改:

404.html index.html wp-config.php wordfence-waf.php 编辑这些文件,挨个去掉这些代码:

系统看起来正常了。

然后把这几个文件的属性给改成只读。

有时候觉得弄个网站真是不省心,本来想耍耍笔杆子写两篇文章,结果非要让你搞成个搞IT维护的。