收到vultr网站的两封邮件,需要我48小时立即处理,看了一下,是说JPMorgan(摩根大通集团)发现我的网站上有钓鱼(Phishing)内容,模仿他们的网站进行诈骗。
过去好像碰到过类似的情况,于是登录到网站后台,看了一下,果然他们邮件里提到的目录下被新建了一个网站的文件夹,里面有网站文件。。。
删除倒是很简单,但是我还是决定仔细查查。
后台安装了一个Wordfence插件,scan了一下,发现大概380多个文件被篡改(忘记截图了)…主要是各种php后缀的文件,包括各种插件和模板文件。
这Wordfence会拿Wordpress.org上的插件源文件和当前文件对比,发现不同的,你可以选择用源文件替换,这个倒是不错,不过我有些插件和模板不是官网的,它就没法替换了,处理选项只有删除或者忽略。当然不能随便删除。
病毒比我想象得厉害,把那些被篡改了文件替换后,再扫描,又在新的地方冒出来了。想了一下,于是把所有plugin都关了,除了这个Wordfence,模板改成官网的模板,然后再扫描,挨个处理,这样就不会反复触发病毒木马程序了。
网站查病毒相对比电脑容易些,主要是这些病毒必须要被php程序调用后触发。
这些病毒程序基本都是把php的第一行给加入了一段代码,见下面举例。
病毒也蛮聪明,在Wordfence的设置选项里,有个排除哪些文件不去扫描,居然它们把自己也放进去了。
就是现在我的网站被列入什么黑名单了,用Chrome访问会出现这样的告警:
您要访问的网站是欺骗性网站
www.bigzhang.com 上的攻击者可能会诱骗您做一些危险的事情,例如安装软件或泄露您的个人信息(如密码、电话号码或信用卡信息)。
要继续访问就要点下面的“详细信息”,然后点后面的链接才能访问。
其它浏览器都没这个提示,这个怎么消除我还不知道,我查查看吧,希望它自己在扫描没有发现问题后会自动消除。
看来定期查网站安全还是必要的。