CC.99.RR

首先要告诉大家的是，不用担心！木马已经被我找到并全部剿杀！博客现在恢复正常啦！

不法分子利用时下几种流行的开源博客系统（Wordpress, Joomla or Drupal）漏洞种植木马，已达到其盈利目的，是最近一两年比较新兴的一种黑客挣钱方式。之前也只是在网上会看到一些关于博客中毒的信息，万万没想到昨天可怕的事情竟然在我们自己的博客上发生了！ 其中惊险刺激非常过瘾！耐人寻味！我这人忘性大，怕日子长了就不记得了，所以感觉很有必要把这个过程记录下来，也好给其它不幸遇到这种事情的朋友提供一个参考。 不会采用太多专业术语，只是简单陈述，增加可看性。

先交代一下背景，我用的是wordpress，English Version 2.9.2，更新到最新版好像也不过就两三个礼拜，按道理不太会发生被木马入侵的事情。这也是我一开始认为问题出在HOSTING SERVER上的原因。。。

 
 
1. 发现

昨天下午接了我们家领导豆儿下班回来，饭后习惯性的上博客看看，突然发现其中一个plugin：Shutter-reloaded 不工作了，开始以为只是插件自身的原因没有多想，直接上后台查看，结果发现了更让人奇怪的事情，似乎所有须要运行javascript的地方都不能正常工作了！再上博客主页查看时，才注意到打开主页的同时，Firefox阻止了一个没有见过的网站！

我靠！我当时的第一反应是Godaddy（hosting 公司）竟然敢在我的专属IP上放广告？！ 这不太可能吧～跟谁学也不能跟中国电信学啊！不应该啊～专属IP是要多付费的，而且偷放广告也不至于disable javascript啊！这一想法马上被否定了。

第二个想法马上就是，HOSTING SERVER 被黑了？！如果被黑的话，那自动导向的网站肯定是有问题的，我改用IE再次打开博客主页，网站真的自动导向去之前被火狐拦截的网站，之后再次导向去另一个目的地网站，防护软件提示有代码被阻止！光从页面上看像是卖虚假防毒软件的，别的倒也没有什么病毒加载之类的。经查发现两个网站的服务器都在俄国！倒～感觉像是回到了以前上班的时候！因为以前工作的关系，老是接触这些，所以第一感觉就是GODADDY的服务器被挂了木马。MD又是老毛子！ （当时忘记截图了）

当时心想怎么那么大的hosting公司还能出现这种问题？？ 怀着疑问还是赶紧给他们发了EMAIL。我直到那时还都没有多想，心中一直认为问题出在GODADDY, 肯定是疏于防范，乐观的认为他们会把问题解决的，对他们来说应该很简单。我这儿不用做任何事情。

Godaddy所承诺的服务倒还真的是相当不错，一个小时不到就回信了。结果和我想的正好相反！问题出在我这边！！ Godaddy的回信中只是告诉我要及时更新到最新的版本，防止漏洞攻击等等一些程式化的建议，不过Godaddy明确表示不是他们服务器的问题，这个对我来说已经足够了。完蛋！歇！ 是wordpress系统中毒了！什么时候发生的？！为什么本地防毒没有提示？难道我还真中了传说中的XSS ATTACK?? 运气不会那么好吧？当时我的汗就下来了。
 
 
2. 调查

因为之前从来没有处理过博客系统查毒的经验，一上来根本就无从下手啊～只能按照一般程序来，先找原因。首先WP系统版本是才升级到2.9.2的，应该没有问题，该堵的洞应该早堵上了。那问题肯定出在plugin上！我靠！当时就想起来了，下午出门前才顺手升级了一个插件(wp widget cache)！当时因为懒，选择的是自动更新。升级完就走了，也没仔细看！肯定是利用这个插件的漏洞中了木马！倒霉孩子～～～

先到后台赶紧关闭插件，这个时候的后台早就完全变样了， 因为javascript已不能运行。整体就像一个网站没有加载CSS!很费劲的关闭所有插件后。接下来就赶紧查一下到底中的是啥马？关闭所有保护，独留防病毒软件，再用IE7打开博客主页，卡巴还真的提示了！我当时心想，不错，MD卡巴就是卡巴，同样也是俄国佬！就是狠，没有让我失望啊！从N年前给公司测试肉鸡装盗版到回来国内买正版，没有白费我那么多年来对你的坚持啊！对得起我交的这些个年费！

我中的这个木马在卡巴的数据库里名字叫：Trojan.JS.Redirector.cq

看名字让我稍稍放心些，JS Injection，一般替换中毒文件就可以修复。心说希望你只是利用我的博客自动转向啊，千万别动我的数据啊！再看来源网站，的确是那个被火狐阻止的网站，哦～～原来它是想通过一个php的文件来再次转去第二个目的地网站。

看下图php源文件，打红线的地方就是它要转去的网站。

（出于安全考虑，隐去一些代码）

 
 
3. 剿杀

知道中的是啥马后，事情算是有了个好的开始，剩下的就是如何找到并查杀了。在网上搜了很久，发现类似案例很少，心中不免有些担忧，心说WP文件成千上万，我总不能一个一个的找吧！ 把WP系统重装一遍？那也不可行，里面有很多我自己修改的地方，到现在都基本记不清都是在哪儿了 。。。要重装的话，就不是一天两天的事啦～～

正在着急上火之际，终于让我找到一篇文章！博主真是好人啊！里面有关于类似wp blog system 中毒后的解决方法！如获至宝，赶紧仔细阅读，越看越是心惊，里面写了很多可怕的后果！最吓人的就是黑客会在注入木马的时候更改你的用户名和密码！不仅是wordpress系统的，甚至是你FTP端的！！然后利用你的博客发布大量的广告，病毒。。。

NND别吓我啊！因为一开始我就已经登陆到WP后台了，是能够登陆的，我也就没有多想，心里没把这小马当回事，所以FTP我还没有试！当时头皮一阵发麻，赶紧一边打开FTP客户端一边心中祷告，把西方的GOD东方的佛祖都求了一遍，同时输入用户名，密码，ENTER。。。进去了！俄的神啊～～～当时靠在椅背上松了口气，心说，MD，不幸中的万幸啊，真的是只小马，而且这个黑客还算是有职业操守，没太丧德！能看到所有的file directory，心里大石就算放下一半啦！

接着要做的就是找到恶意代码，然后杀之！之前提到的那个哥们儿给了我很好的引导。说一般的恶意注入代码都会隐藏在root下的index.php里或是wp-admin文件夹及其下属文件夹里。行，有方向就好办了！下载下来一看，CAO! 果真，嘿嘿嘿，小丫的终于让我找到你了！ 黑客把恶意代码部分全部用base64 encode了（图中红框内）：

 
decode后无意义的乱码变成了有意义的内容：

（出于安全考虑，隐去一些代码）

把上图的红线部分再解码，结果不出所料，就是火狐阻挡住的那个网站！
 
把恶意代码从index.php里删掉，上传，发现结果还是不行！去FTP后台再看，咦？！发现几乎所有的PHP文件的最后一次修改日期全部是昨天下午四点左右！！！我C@#%@#￥%！#￥%…..！！心道不会在所有的PHP文件里都注入了恶意代码了吧？！！心里一边把那编码的黑客祖宗八代全部重新问候了一遍一边查看，果不其然！全部都有注入！我靠～当时脸都绿了，真是太狠啦～～～那文件不是一般的多啊～～～怎么办？！慢慢替换吧。。。

 
 
4. 善后

三个多小时过去了，凌晨3点半，终于全部搞定。上博客主页测试，JS可以工作了， 没有转向链接！YEAH! 心里一阵轻松～～久违的感觉，仿佛又回到了之前在公司上班的时候。呵呵～MMD，这是逼着我温故知新啊！

杀完了还不算完，紧接着就是修改密码，WP后台的，FTP的。。。能改的都全部改掉！密码越复杂越好！

为什么要熬夜尽快修复？因为我的博客设定是允许GOOGLE或其它搜索引擎的机器人来INDEXING的，如果机器人来的时候木马还没有查杀完，一般就会被搜索引擎列为恶意网站，会被放入黑名单，那样的话就麻烦了！不仅搜索引擎上看不到你，而且在某些浏览器上也会主动把你的网站拒绝，比如说火狐。而且搜索引擎平反的过程那叫一个漫长，相当有宁可错杀一千，不能放过一个之势。百度我不知道，GOOGLE的话需要至少90天的时间。所以一定要尽早清除干净！更何况任谁也不会想自己的博客里老有匹马在那儿吧～

早上四点左右，终于全部忙完了，松了一口气。 边抽烟边总结了一下，这个故事教育我们，以后不光博客系统要及时更新，而且在更新插件的时候，最好还是采取手动上传更新的模式，先确定文件没有问题，再上传到博客！做到万无一失！ 这个故事还教育我们，有个好运气碰到一个有职业道德的黑客也是一件多么重要的事情啊！在这里还要多谢他编码的时候手下留情！

 

PS. 也真是赶巧了，TaoTao 同学昨晚在我杀毒的过程中还留了个言 。我当时是在乱七八糟的无JS情况下的后台上看到的，看到后抱着试试看的心理直接approve，结果还真的工作，呵呵～～ 看来WP的稳定性还是值得夸赞一下的！她是在不知道博客中毒的情况下留言的，留的过程中不知道有没有感觉不对劲，应该是没有，看来IE8在安全性上还行啊，八成是也阻止了网址自动转向。在这里我想说一下，这个木马的功能只是转向，为它那虚假防毒软件做广告，除非去主动下载它的假软件，不然没有什么伤害性的，那个目的地网站也没有发现任何主动攻击的动作。所以TaoTao同学不用担心哦～

The System security, trojan, wordpress