前幾天在幫客户檢查網站的配置問題發現的此病毒,來源毫不意外,依舊是一些所謂的 WordPress 免費資源下載網站。天下沒有白吃的午餐,多多少少都會以某種形式付出代價,此木馬病毒和 WP-VCD 不同,對網站系統內的檔案資料不會產生破壞性的影響,但是會悄悄的獲取網站的管理員許可權和釋出垃圾內容,過程想當隱蔽。
什麼是 WP-VCD 請看文末附上的文章,這裡就不多敍述,主要是講講新發現的 rms_unique_wp_mu_pl_fl_nm.php 木馬病毒。
此病毒的傳播途徑是通過植入到一些熱門高階外掛、主題裡然後通過免費下載傳播,使用者一旦上傳至網站安裝,啟用相關外掛後,就會自動生成在 mu-plugins 目錄內生成一個 rms_unique_wp_mu_pl_fl_nm.php 檔案,此檔案可自動實現遠端登入和獲取到管理員許可權,同時實現遠端釋出文章上傳內容到使用者站點。
從客户站下載到的外掛包裡,薇曉朵發現木馬檔案一共只有三個,比較特別的是,此病毒好像是專門針對 WordPress Multisite 建立。
執行指令碼:
- rms-script-mu-plugin.php
- rms-script-ini.php
自動生成
- rms_unique_wp_mu_pl_fl_nm.php
如果你在自己的網站內部發現了有類似的幾個檔案,那麼就請自己趕緊排查下網站是否存在不明管理員賬號和一些附帶英文垃圾連結的文章內容,包括你在後台看不見,但已經被搜尋引擎收錄的垃圾文章。
對網站進行全面的掃描和漏洞排查,刪除不用的外掛,而且儘量避免使用來路不明和在一些所謂的分享網站上下載的免費 WordPress 高階外掛,這裡就不點名説了,國內很多分享 WordPress 主題外掛的個人站點其實也是散播病毒木馬的一環,他們只是自己還不自知。
如果你發現自己站點被黑,SEO 排名消失,而且還冒出來奇奇怪怪的內容和檔案,那麼可能就是需要清理木馬病毒了。
這篇文章算是提醒和警告,此病毒最早出現是在去年 9 月份左右,就現在來説傳播的還不算很廣泛,另一個我們也中過招的 WP-VCD 相關説明可以看下面文章:
2020 年 05 月 17 日 補充—— 其他遇到被黑站點的客户反饋和垃圾內容截圖,請及時清理漏洞:
下面的這些垃圾文章需要進行全面的清理和刪除,而且過去已釋出的文章也要記得搜尋下是否被植入了垃圾連結,有的時候會自動生成內容和黑鏈到你的站點文章內,需要都排查下。
長期不清理和處理的站點就純粹是淪落為別人的肉雞和垃圾連結站,特別是給搜尋引擎收錄後對 SEO 簡直就是致命打擊。
如果實在是沒有技術人員管理網站,薇曉朵提供了網站託管計劃套餐,連線至我們的雲平台將會想當省事,可以進一步瞭解。