前幾天在幫客户檢查網站的配置問題發現的此病毒,來源毫不意外,依舊是一些所謂的 WordPress 免費資源下載網站。天下沒有白吃的午餐,多多少少都會以某種形式付出代價,此木馬病毒和 WP-VCD 不同,對網站系統內的文件數據不會產生破壞性的影響,但是會悄悄的獲取網站的管理員權限和發佈垃圾內容,過程想當隱蔽。
什麼是 WP-VCD 請看文末附上的文章,這裏就不多敍述,主要是講講新發現的 rms_unique_wp_mu_pl_fl_nm.php 木馬病毒。
此病毒的傳播途徑是通過植入到一些熱門高級插件、主題裏然後通過免費下載傳播,用户一旦上傳至網站安裝,啓用相關插件後,就會自動生成在 mu-plugins 目錄內生成一個 rms_unique_wp_mu_pl_fl_nm.php 文件,此文件可自動實現遠程登錄和獲取到管理員權限,同時實現遠程發佈文章上傳內容到用户站點。
從客户站下載到的插件包裏,薇曉朵發現木馬文件一共只有三個,比較特別的是,此病毒好像是專門針對 WordPress Multisite 創建。
執行腳本:
- rms-script-mu-plugin.php
- rms-script-ini.php
自動生成
- rms_unique_wp_mu_pl_fl_nm.php
如果你在自己的網站內部發現了有類似的幾個文件,那麼就請自己趕緊排查下網站是否存在不明管理員賬號和一些附帶英文垃圾鏈接的文章內容,包括你在後台看不見,但已經被搜索引擎收錄的垃圾文章。
對網站進行全面的掃描和漏洞排查,刪除不用的插件,而且儘量避免使用來路不明和在一些所謂的分享網站上下載的免費 WordPress 高級插件,這裏就不點名説了,國內很多分享 WordPress 主題插件的個人站點其實也是散播病毒木馬的一環,他們只是自己還不自知。
如果你發現自己站點被黑,SEO 排名消失,而且還冒出來奇奇怪怪的內容和文件,那麼可能就是需要清理木馬病毒了。
這篇文章算是提醒和警告,此病毒最早出現是在去年 9 月份左右,就現在來説傳播的還不算很廣泛,另一個我們也中過招的 WP-VCD 相關説明可以看下面文章:
2020 年 05 月 17 日 補充—— 其他遇到被黑站點的客户反饋和垃圾內容截圖,請及時清理漏洞:
下面的這些垃圾文章需要進行全面的清理和刪除,而且過去已發佈的文章也要記得搜索下是否被植入了垃圾鏈接,有的時候會自動生成內容和黑鏈到你的站點文章內,需要都排查下。
長期不清理和處理的站點就純粹是淪落為別人的肉雞和垃圾鏈接站,特別是給搜索引擎收錄後對 SEO 簡直就是致命打擊。
如果實在是沒有技術人員管理網站,薇曉朵提供了網站託管計劃套餐,連接至我們的雲平台將會想當省事,可以進一步瞭解。