记录一次 WordPress 被恶意代码注入的问题

245 字
2 分钟
...阅读
...评论

今天发现之前帮一个客户维护的服务器流量近期一直比较高,是平常的几十倍。看了下请求,都是一些奇奇怪怪的 URL,并且甚至还能返回 200。访问看了下,是一些别的产品的营销页,看了下请求来源,也都是一些营销机器人。

初步怀疑是客户 WordPress 的管理员密码被撞库了,然后 WordPress 本身又有一些漏洞导致代码文件被改了。上去看了下,发现篡改了很多文件。

后续就是将 WordPress 的代码恢复成之前的版本,清理了一些不用的管理员账号,并且把剩下唯一的管理员密码重新修改了。然后在 Apache 上把流量较高的一些请求的路由和 UA 做了限制,直接禁止访问降低带宽。

RewriteCond %{HTTP_USER_AGENT} (DataForSeoBot|SemrushBot) [NC,OR]
RewriteCond %{REQUEST_URI} ^/godsend/ [NC]
RewriteRule .* - [F]

后面流量就恢复正常了。

评论区
Copyright © Bean Deng