差点丢光数据,复盘一次惨痛的黑客攻击
来源:本站原创 浏览:208次 时间:2026-07-09
昨晚三点多,手机忽然狂响。服务器CPU跑满100%,我披了件衣服就冲到客厅开电脑。妈的,备份脚本跑了两年半,今天出事了。
先看一眼Nginx日志,全都是向/wp-admin 狂发的请求。IP是家里用的那个?不对是那个巴西的代理IP——我前天才切过CloudFlare,忘了限制来源。
其实问题出在老掉牙的一个套路:被人通过旧版WordPress的xmlrpc.php 暴破。自动化的工具几十秒就把弱口令干穿了。然后就成了肉鸡发乱七八糟的。丢数据是小,网站全被改成赌博页要大一点。
紧接着干掉过程就不写了。核心是:先冻结网站,再把别cron的sh给收了。然后挨个排查文件。我发现,/etc/ 底下被写了个ladybuggery的系统混淆。路径是/var/文件夹里藏了一堆eval执行的evalbase64文件。
怎么修复的?跑了一遍的install重装WordPress+AI助手扫了一遍。/WP-content该删的全删掉,替换一遍wp-configure。重新选了两个随机盐。

做站这么多年,用户数据是最容易傻白的。2007年的那个破数据库都有600M毛,备份不带密码。去年发现被脱过一次我也不知道,现在考虑是不是那次留下的后门。
坑爹
唯一值得庆幸的是我比较懒,重要广告收入和流量不要靠着这块次级博客不然就要心理崩溃。
看了一下后台篡改的痕迹,.htaccess被塞了几百行rules像羊癫疯。联想到N年不更新的oldforum还在PHP5.3跑着呢……算了明天关刀。
朋友们注意:没事检查下wp-addbutton……删掉加上
换版本低的别忘了防隔行回传炸弹。
- 上一篇: 白嫖CDN加速,省了几千块的骚操作
- 下一篇: 没有了











鄂公网安备42011602001234号