突然发现我们的一个流量还不错的网站,WordPress文章和页面内容后面全部被加入了恶意代码:
恶意篡改代码为:
<script src='恶意外部js地址'></script>
改代码会导致打开网站就被跳转到其他乱七八糟的网站;
找到这个恶意跳转代码也费了不少功夫;
首先排查了网站服务器和后台的所有文件,都没有发现恶意注入代码;
排查前端文章的时候发现代码加在文章末尾;
排查的时候wp-admin后台是可以进去的,只是打开网站和文章的时候会跳转,我们是在打开单篇文章查看源码的时候发现;
随后在后台编辑文章的时候发现恶意代码;
初步判断是管理员密码过于简单利用cookie数据登陆进去进行篡改,因为我们排查了后台文件,并未发现其他恶意弹窗或者代码;
解决方案:
因为文章较多,无法手动排查;
因为只能
在数据库中批量查找替换,全部在wp_post表中,但是这种存在一个问题;
<script src='恶意外部js地址'></script>
替换代码中存在 '' 单引号,无法完全被替换。
最后利用Better Search Replace这个插件进行了替换,完美解决。
后面又开始反复感染文章或页面或主题设置文件,在数据库中修改后无法解决;
最后设置WordPress文件权限,查看sql log分析注入时间和来源;
从权限上把注入堵死才解决。
参考资源:
