当前位置: 首页 > wordpress分享, 自由屋 > 正文

删除wordpress恶意代码文件全过程

前几天,偶然发现自由屋博客被搜索引擎劫持了!发现只是前几天,但是具体被劫持多久暂时还不清楚,具体表现就是通过百度搜索到的ziyouwu.com,通过百度点击进来会自动跳转到其他的非法网站,导致的后果就是被百度拒绝收录,百度来路减少,这也是笔者大意了,还久没更新造成的,所以建议每隔段时间,站长都要从百度点入自己的博客,试一试看看能不能正常跳转;网站被黑了以后怎么办呢?笔者用了以下几个方法清除了网站恶意代码,网站恢复正常!如果是新手的话可以考虑从下面几个方面入手:

通过浏览器源代码查看异常

这个最基础,也最简单,直接输入域名,打开你的网站,然后右击查看网页源代码,看看这里边有没有恶意代码,如果有的话,多打开几个内页,看看是否也有恶意代码,如果还是存在恶意代码,那么可能性最大的就是在网站头部或者底部网页模板中加入了恶意代码,通过FTP下载整站,看一下头部或者底部有没有恶意代码,然后删除!

另外可以借助工具fiddler,查看整个网站的加载链接,然后获取到非法网站的链接,在源代码里边搜索一下位置,并删除!

通过服务器排查

个人觉得这个也是比较简单的方法,因为自由屋博客用的阿里云的虚拟主机,所以服务器被黑的可能性不大,但是为了安全,还是排查一下,简单的方法就是用备用服务器或者虚拟主机,把整站更换服务器,如果还会出现问题,那么就不是服务器的问题了!

源文件替换排查

因为笔者用的是wordpress程序,所以这里就拿这个举例子,如果服务器没有问题,源代码也没有恶意代码,那么直接替换整个wordpress文件,替换之后数据不会丢,这样就可以排查是wordpress文件被人修改还是主题问题!

这个方法也是比较实用的,什么时候用这个方法呢?把整个网站压缩,并通过FTP下载到本地,借助一个文件内容对比排查工具:Beyond Compare。对你你所用的wordpress程序版本和官方下载的版本哪里有改动,如下图:
wordpress恶意代码

通过工具查看,很明显index.php文件被改动过,根官方的不一致,我们打开文件如下图:
wordpress恶意代码

看到所使用的index.php被添加了恶意代码,删除代码,重新上传就可以了!(其实我当时被修改的不是这一个文件,还有很多php文件,考虑到这么多,笔者直接替换了整个的wordpress程序,不是替换,是删除了除主题外的所有wordpress程序,重新安装)

本来以为到这里就结束了,等到第二天,笔者再把整站下载下来,重新对比文件,发现又有好多php文件被修改,添加了恶意代码,那么很明显,问题出现在了除wordpress程序以外的地方,至少有一段代码或者文件,自动在wordpress程序中进行修改,因为之前wordpress重装的,所以就出现在了主题文件中,通过与之前备份的主题文件和主题原文件对比。最终找出了恶意文件,当然这个文件不是我所用的weisay主题当中的,而是后来添加了一个图片上传文件,该文件被利用,上传了几个恶意文件造成的,删除恶意文件,手动删除恶意文件,大功告成!

本文固定链接: https://www.ziyouwu.com/archives/1623.html | 自由屋博客www.ziyouwu.com|wordpress建站技巧分享

删除wordpress恶意代码文件全过程:目前有2 条留言

  1. 沙发
    zlsin

    很危险啊,这恶意代码

    2018-01-12 下午2:00 广西来宾市 电信 [回复]
    • 当时找了好长时间才慢慢的找到的!

      2018-01-12 下午5:11 山东省济南市 电信 [回复]

发表评论

0 + 8 = ?


快捷键:Ctrl+Enter