记一次博客被入侵的经历

最近两个月确实没有怎么管过博客,以至于被扫到洞然后灌入了奇怪的东西还是好心的网友提醒的。。

大概在五月底的某个深夜,不知道被什么人或者机器盯上了咱这个穷乡僻壤,植入了木马,应该是通过某种方法getshell了,然后从主页到各个文章页面的TDK(Title Description Keywords)都被污染成了各种博彩信息,直接导致网站被搜索引擎降权(虽然本来也没做过SEO...),直到评论区的朋友指出才发现这个问题。
这个脚本很聪明,它在header.php中插入了noscript标签,以至于一般用户(开启页面javascript的话)根本察觉不到,而搜索引擎的爬虫进来时就可以识别到作为该页面的描述信息。结果就是一时间整个网站的页面在搜索引擎中的结果都变成了下图这样
页面TDK污染

同时在博客的根路径下多出了足足100M+的垃圾网页,其全部都是各种博彩相关的。在Google Search Console的分析中看到有很多垃圾网站也关联到了这里的链接,层层串联,然后没几天就有一大堆爬虫进来将那些垃圾信息扩散到各处,虽然流量还挺得住,但实在是不爽。拜其所赐,这里也变成了日PV达到4k的地方了hhhhh
随着垃圾扫描记录的极速增加,后台浏览统计插件也撑不住了,只能手动去清了一遍数据库才恢复。

查阅了很多信息之后,目前采取了以下办法,不知道有没有效果

  1. 清理掉根路径下被灌入的各种垃圾博彩页面。
  2. 在上传文件的路径里发现了一个可疑的config.php,里面疑似是病毒遗留下来的内容,大概就是创建了一个test用户然后做了点其它不知道的操作。先删为敬。
  3. 删除博客根路径下的install.php和install文件夹或者升级到Typecho的最新正式版。(去年10月曝出的反序列化漏洞)。
  4. 修改robots.txt,只允许爬虫扫描指定的几个白名单文件夹和独立页面。用于防止各类爬虫继续刷浏览量和扩散垃圾信息。
  5. 在Google Search Console及时提交robots.txt及sitemap修改。

因为以前也没有类似的处理经验,所以目前仍然还在继续观察中,希望过一段时间可以恢复如初。如果有遇到过类似症状的朋友也恳请支招,php实在不是很懂。

已有 3 条评论
  1. 悲报,但拜其所赐提升了日PV还行hhhh。
    早喵大大是自己的物理主机还是租的VPS?如果是租的不如联系一下客服?
    没有遇见过这种情况所以也没办法提供什么有用的帮助orz,php苦手啊。

    1. ac_ls.png 这些全都和乱码一般的流量不要也罢啦(
      其实是租的虚拟主机,还不如VPS那样灵活...目前来看采取了一些措施之后没有再复现之前的情况,搜索引擎权重也在恢复中,希望就这样结束了好。。如果你那边没有升级到最新版TP的话,也可以注意下预防类似的问题~

      1. 还是得多备份,实在麻烦了重置恢复备份简单粗暴2333

发表评论