今天@Lyphix告诉我在打开我的博客首页时,有一定几率会跳转到http://tiny.cc/roiplg这个网页。
排查
经过几次试验之后,我也遇到几次跳转到上述网页的情况,但是并不能稳定复现。查看首页的源代码,我发现了如下的代码:
这段代码在网页中插入了一段JavaScript,控制网页跳转。
分析
我首先考虑到劫持的可能性。但是我的博客开启了全站https,并且在挂上全局代理之后情况依旧。因此劫持的可能性被排除。
其次的可能性是某个插件存在漏洞而被在数据库插入了恶意代码。比如我使用了的Insert Header and Footer插件。我将WordPress数据库转储为SQL文件,但是并没有在其中搜索到相关关键字。
那么这段恶意代码只可能来自于php代码中。我全局搜索了博客根目录,发现相关的代码位于wp-contents/plugins/index/
经检查git提交历史得知,这段代码是在18天前,也就是7月6日之前出现的。
解决方案
解决方法很简单,把整个index目录直接移除即可。
原因
因为时间过于久远,当时的nginx日志已被覆盖。所以这段代码究竟从何而来我们不得而知。唯一能够做的事情是及时更新WordPress,并尽量避免使用插件。
发表回复/Leave a Reply