在上周六的早上,刚打开电话后,我收到了客户的信息,说他的网站中毒,媒体无法显示,图片无法上传,电脑的防病毒软件会在网站打开时报告错误。花了半个小时来解决这个问题。今天,我将分享网站修复过程,并告诉大家如果网站遭到黑客入侵该怎么办。
1.找出网站被黑客入侵的地方
收到客户的信息后,我立即打开电脑查看,除了网站的媒体无法显示任何图片,无法上传外,还发现网站突然占用了电脑CPU,只要页面被打开, CPU充满血液98%,电脑非常无卡,网站的其他功能可以正常使用。
所以我猜它并不是特别严重(如果严重的黑客攻击充满了病毒(恶意软件),网站无法打开),网站上都挂着黑链,或者网站被恶意代码挂起。首先使用工具网站http://www.unmaskparasites.com/检查恶意程序是否被挂起
果然,查询导致了几行可疑代码和指向coinhive.com资源的链接。问题出在这里。因为我对我正在做的网站非常清楚,所以不可能有这样的代码。
然后右键单击您自己的网站 - 查看,然后使用ctrl + f搜索coinhive,并找到这5行恶意代码。
百度和谷歌有点,发现这是一个计算机或网站挖掘程序,NND,在我的网站上变黑了!所以发现的问题是5行恶意代码!
2.清除网站上的代码
找到了恶意代码。现在要清除这些代码行,首先找到代码的确切位置。
我们知道WP页面由WP +主题组成,WP系统文件或主题页面中嵌入了这些恶意代码行吗?做一个简单的测试测试就知道了。
然后在后台激活其他主题,比如2017主题,然后回到前台,右键检查,然后按CTRL + F,搜索coinhive,发现这些恶意代码仍然存在,这意味着这些代码行在WP系统文件中。因为更改主题后恶意代码仍然存在。
现在下载网站的所有WP系统文件并直接使用复制器备份所有数据,但指向第三步并发现无法执行复制器,WTF实际上阻止我备份。
好的,只使用linux指令进行备份。
打开XSHELL,连接到网站所在的空间,输入系统根目录下的目录,然后输入以下命令并按Enter键
tar cvf in.tar public_html
您可以将整个WP系统文件压缩为in.tar文件,然后将in.tar拖到public_html,然后输入www.xx.com/in.tar即可下载。
下载到本地后,解压缩并查看很多系统文件,但是你怎么知道哪个文件放在哪个文件中?
不怕,这里有一个很好的工具字符串查找器,免费下载资源,只需选择文件夹路径和搜索关键字,就可以找到包含这个关键字的所有文件。
经过大约1分钟的搜索,我终于找到了15个被黑的系统文件,所有这些都在系统根目录下,所有这些都是php文件。
我找到了这些文件然后逐个打开它们。我发现了一段代码。几个文件中的恶意代码完全相同,回声.....检查这些恶意代码,然后删除并保存。
3.上传修复后的系统文件以替换被黑客入侵的文件
由于只有这10个文件被黑客攻击,您只需要替换这10个文件。您可以直接连接到FTP,找到这些文件所在的网站的根目录,然后选择所有上传并选择叠加。
然后刷新下一个网站并右键单击 - 检查这些硬币代码是否不正确。
然后检查背景功能,也可以预览媒体中的图片,也可以上传图片,也可以备份复制器。该网站恢复正常!
4.为什么该网站被黑客入侵
网站恢复正常后,经过仔细调查,发现黑客通过暴力FTP密码进入空间,然后修改了网站的系统文件。虽然我的密码设置非常复杂,但这一次真的很不走运,而且它已被破解。但是,这种事情有时没有解决方案。其他人想要让你变黑。你什么都做不了,你只能阻止它。
5.黑客网站的一些摘要和经验教训
虽然这是一个小概率事件(这是第二次,第一次黑客是在2013年,当黑链被挂起),但值得总结。
最重要的密码必须复杂,越复杂越好。开放空间越小,越好。
此外,您需要备份更多网站,只要网站有更新,您就可以及时备份。
更多防止网站被黑客入侵的方法https://www.imhunk.com/wordpress-safety/