WordPress被插入wp_cfg_popuplink恶意代码的分析与解决方案

Frank发布

今天@Lyphix告诉我在打开我的博客首页时,有一定几率会跳转到 http://tiny.cc/roiplg这个网页。

排查

经过几次试验之后,我也遇到几次跳转到上述网页的情况,但是并不能稳定复现。查看首页的源代码,我发现了如下的代码:


这段代码在网页中插入了一段JavaScript,控制网页跳转。

分析

我首先考虑到劫持的可能性。但是我的博客开启了全站https,并且在挂上全局代理之后情况依旧。因此劫持的可能性被排除。

其次的可能性是某个插件存在漏洞而被在数据库插入了恶意代码。比如我使用了的 Insert Header and Footer插件。我将WordPress数据库转储为SQL文件,但是并没有在其中搜索到相关关键字。

那么这段恶意代码只可能来自于php代码中。我全局搜索了博客根目录,发现相关的代码位于 wp-contents/plugins/index/

经检查git提交历史得知,这段代码是在18天前,也就是7月6日之前出现的。

解决方案

解决方法很简单,把整个index目录直接移除即可。

原因

因为时间过于久远,当时的nginx日志已被覆盖。所以这段代码究竟从何而来我们不得而知。唯一能够做的事情是及时更新WordPress,并尽量避免使用插件。

分类: 原创文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Captcha *

%d 博主赞过: