WP博客被黑记
晚上孩子写了博客,我兴高采烈的打开准备欣赏,却发现,一屏幕的蓝屏白字,被黑了!!!
内容如下:
☯ Hacked By N04mi_ErikX7 ☯. [ We Smile In Your System. ] [Thanks to: N04mi_ErikX7 - XGhost7 - KhapetGans27 - ./Dandialien - ZerroX7 - DH17 - Cubjrnet7 - WhiteLine - Mr.Lutfie404 - MrDnm - AuliaaX7 - ChokkaXploiter - Kuinsasiru - Nyankun - PujaX7 - NanaX7 - MariyaX7 - Genta_X7 - Riko333X - Nekouwu - z3r0 d4y 3xpl0it - Dark_193n - Mr.Bumblebee - Lul.x7 - Phenom X7 - ./X-ZER0. - Lullaby007 - AeroX7 ]
赶紧打开WP的管理页面,发现能进去,只是孩子最新的博客丢失了。怀疑主页被改。登录系统,查看,果然,index.php被换了:
<!-- CLAN_X7 -->
<html xml:lang=\"en\" lang=\"en\" xmlns=\"http://www.w3.org/1999/xhtml\">
<head>
<link rel=\"icon\" type=\"image/png\" href=\"https://i.ibb.co/3SzFDqW/IMG-20211025-WA0109.jpg\"/>
<meta http-equiv=\"Content-Type\" content=\"text/html; charset=UTF-8\">
<title>Hacked By N04mi_ErikX7</title>
<meta name=\"description\" content=\"Clan_X7\"/>
<meta name=\"og:title\" content=\"Hacked By N04mi_ErikX7 \"/>
<meta name=\"googlebot\" content=\"index,follow\"/>
<meta name=\"robots\" content=\"all\"/>
<meta name=\"robots schedule\" content=\"auto\"/>
<meta name=\"distribution\" content=\"global\"/>
<meta name=\"og:description\" content=\"Clan_X7\"/>
<link href=\"https://fonts.googleapis.com/css?family=Iceberg\" rel=\"stylesheet\">
</head>
<style>
body{color=\"black\";font-family: \'Iceberg\', sans-serif;}
</style>
<body bgcolor=\"white\">
<table width=\"100%\" height=\"100%\">
<td align=\"center\">
<img src=\"https://i.ibb.co/3SzFDqW/IMG-20211025-WA0109.jpg\" width=\"450\" height=\"450\"/><br>
<font size=\"5\"><b>☯ Hacked By N04mi_ErikX7 ☯</b></font><br>
<font size=\"4\" color=\"black\"><b>[ We Smile In Your System. ]<br>
<br>
[ Thanks to : N04mi_ErikX7 - XGhost7 - KhapetGans27 - ./Dandialien - ZerroX7 - DH17 - Cubjrnet7 - WhiteLine - Mr.Lutfie404 - MrDnm - AuliaaX7 - ChokkaXploiter - Kuinsasiru - Nyankun - PujaX7 - NanaX7 - MariyaX7 - Genta_X7 - Riko333X - Nekouwu - z3r0 d4y 3xpl0it - Dark_193n - Mr.Bumblebee - Lul.x7 - Phenom X7 - ./X-ZER0. - Lullaby007 - AeroX7 ]</b></font><br
</iframe>
<audio id=\"lagu\" src=\"https://l.top4top.io/m_2105tggyz0.mp3\"></audio>
<br><button class=\"lagu\" onclick=\"play();liat();\"><font face=\"Iceberg\" size=\"3\" color=\"black\">Play</font></button> <button class=\"lagu\" onclick=\"pause(); liat();\"><font face=\"Iceberg\" size=\"3\" color=\"black\">Pause</font></button></audio> <script> function play(){ var audio = document.getElementById(\'lagu\'); audio.play(); } function liat(){ document.getElementById(\'galiat\').style.visibility=\'visible\'; } function pause(){ var audio = document.getElementById(\'lagu\'); audio.pause(); } function liat(){ document.getElementById(\'galiat\').style.visibility=\'visible\'; } </script>
<h1>Contact me: tuantutur12@gmail.com</h1>
</div>
</td>
</table>
</body>
</html>
还有个play按钮,估计是勒索啥的吧,没听,直接恢复了index.php文件。
把根目录下感觉不正常的都给删除了,貌似系统恢复了正常。
原因分析
考虑到主机的系统目前没有发现安全问题,阿里云也没有报任何的错误和警告,所以怀疑是WP的漏洞本身引起的。
突然想到几天前WP的管理账号突然登不上,当时还以为是孩子不小心自己改了,就重置密码了事。现在看,可能当时是被暴力破解了。问题是,最初没想到这么一个孩子的小博客也有人黑,管理端密码用的是123456。。。被黑不冤!≧◠◡◠≦ ✌ ≧◠◡◠≦ ✌ ≧◠◡◠≦ ✌
今天网上搜了一下WP的安全漏洞,发现还是不少的,比较多的是这个:
按里面的方法,修改了xmlrpc.php文件,但愿管用。
阿里云以前可以免费用镜像功能,挺方便的,可惜现在收费了。。。。
感想
- 密码还是不能用123456,你不知道哪里会有坏人惦记你
- 黑客真的是无孔不入,所有的公开IP都会有人持续不断的在扫描你的漏洞
- 多备份,有备无患。孩子的管理账号,当时多了个心眼儿,多设置了一个,关键时刻派上用场
今天是自己的生日,愿大家都幸福吧!
