网站症状
有老客户反应,网站通过浏览器输入域名打开是正常的,但从google 等搜索引擎搜索到网站,再点击进去是会跳转到非法网站,找人修复过,也没找到原因。
这个客户网站是WordPress独立站,PHP+MYSQL 立即要了网站后台,主机后台安排检查。
排查过程
1、网站后台还可以正常登陆,那先用插件一键备份整站,这样就可以放心的折腾了。
2、用安全插件扫描整站
结果,除了一些未更新提醒之外,没有任何可疑的高危木马病毒之类的提醒,也就是一切看上去都是好的。
问题依旧还在,从搜索引擎点击还是会跳转,这就让人摸不着头脑了。
3、立即升级所有插件,主题
能升级的插件都升级了,但主题是用户坚持了5年不升级,那就很可能出现问题,查看了主题function.php 文件,没看到有什么异样,先暂时不管。
4、数据库检查
进PhpMyadmin 搜索和跳转域名相关的信息,什么也没找到。
5、排查主题
这不得不回来怀疑主题的问题,立即激活其它主题,测试正常了,没有出现跳转。这下问题范围缩小了。
排查主题文件,搜索到如下恶意代码,代码也相当的普通,能躲过任意查杀。这黑客也太高明了,他不上传任何多余的文件,也不写常规的恶意代码,只写个常用的跳转JS。
代码清除后,一切正常。
小结
以上的排查思路,仅供参考,大家根据自己的情况来。不论是多厉害的黑客,即使我们不知道在哪被篡改了,我们用排除法即可,先是把所有程序,包括wordpress 主程序,主题,插件,升级一遍,然后扫描,删除可疑文件,还要检查数据库是否被篡改,最后都能缩小范围找到问题所在。
如果你的wordpress网站被黑了,需要WordPress网站修复,请联系我们。
