部落格首次遭到掛馬(應該是吧?)之紀念文

上個星期六晚上大約快九點半的時候,好友阿育通知我說他在訪問部落格時被 avast! 通報網頁有惡意程式。

這可是新鮮事,因為以前從來沒有碰過類似的情形。為了搞清楚是怎麼回事,我也馬上打開0與1的邂逅。一進入部落格,果然不太對勁,因為在網頁還沒有打開之前就跳出這麼一個對話框 ▼

首次掛馬記 - 偽安全工具的警示對話框

這個對話框的內容是,你的電腦有被惡意程式攻擊的危險,我們建議你立即檢查系統。如果按下確定的話,會被導向到到另一個網頁 ▼

首次掛馬記 - 偽安全工具的網頁

很明顯,這個網頁就是典型的「偽安全」工具,表面上很好心的要幫我們替電腦進行安全檢查,但實際上是要植入惡意程式到我們的電腦裡。如果在這個網頁上繼續操作的話,那反而才會遭到惡意程式的攻擊…

而這個惡意程式的作者也算是把網頁設計的蠻聰明的,因為它只會出現一次。之後這個惡意網頁會留下 cookie,下次再造訪部落格的時候,透過 cookie 知道你已經有來過了,所以便不會再出現「劫持」訪客到惡意網頁的對話框,藉此降低訪客的警覺心。

第一時間處理措拖

在與阿育討論之後,我決定停用所有 WordPress 的外掛,然後套用預設的佈景主題。因為以前曾經在網路上看過,某些來歷不明的外掛或是佈景主題可能藏有惡意連結或是別有用心的程式碼。不過,在做這件事情時我其實也是蠻疑惑的,如果外掛或是佈景主題含有惡意程式碼的話,那早該發作了,怎麼現在才出現?但是為了幫助釐清問題的來源,還是先停用吧。

另外,為了避免訪客在不知情的情況下上了這個偽安全工具網頁的當,於是暫時關閉部落格,實際上只是把 blog.joaoko.net 指到另一個含有通知訊息的網頁而已 ▼

首次掛馬記 - 關閉部落格&通知訊息

不知道有沒有人運氣好,剛好看到這個網頁?

發現所有 PHP 檔案受到感染

雖然停用了所有外掛,也套用了預設的佈景主題,但問題還是存在。只要清掉瀏覽器的 cookie,訪問0與1的邂逅還是會跳出偽安全工具的警示對話框。

在這種情形下,只好開始檢查部落格裡的檔案。首先是 index.php,一打開就發現不尋常的內容。可以很清楚地看到,檔案開頭的地方被插入一大段 Base64 編碼內容,再打開其它的 PHP 檔案,包括佈景主題的檔案,都受到影響。所以推斷應該是所有的 PHP 檔案都被感染了 ▼

首次掛馬記 - 被插入的 Base64 編碼內容

將這段 Base64 內容解碼後得到的是一段 JavaScript。於是大概可以猜出,就是這段 JavaScript 完成劫持訪客的動作。

另外阿育也發現,每個網頁的原始碼最後也都被插入一個外部連結的 JavaScript 檔案▼

首次掛馬記 - 外部連結檔案

到目前為止,算是找到發生問題的原因了。但駭客究竟是利用什麼手法讓部落格裡所有的 PHP 檔案都被插入惡意程式碼,還是沒辦法確定。能夠想到的就是 WordPress 本身的漏洞、外掛或佈景主題的漏洞;或甚至是虛擬主機伺服器的漏洞(這點比較有可能,因為剛才發現在,我的虛擬主機帳號裡的其它網站也都受到染感了)。

最原始的解決辦法

最後為了盡快讓部落格恢復正常運作,就用了最原始的解決方法 — 重新上傳一份乾淨的 WordPress,覆蓋掉所有被感染的檔案。而佈景主題因為是自訂的,所以就只能手動將每個佈景主題檔案裡的惡意程式碼刪除。

在完成這些動作後,我便恢復啟用所有之前使用的外掛以及佈景主題,在確認檔案沒有再一次受到感染後,問題似乎就得到解決了。

之前有時候會聽到網站被掛馬什麼的,因為自己從來沒有遇到,所以也不太會去注意,沒想到這次是親身經歷,因此也算是一個難得的經驗。還好只是 PHP 檔案被感染,並沒有進一步影響到資料庫。

如果你剛好在部落格中毒的時候訪問,而且也上了惡意網頁的當,強烈建議你使用防毒軟體完整掃描電腦。雖然不知道這個惡意網頁會留下什麼禍端,但還是在這裡向你鄭重道歉。

另外也感謝阿育的即時通知,以及 avast! 的防護能力。

11 thoughts on “部落格首次遭到掛馬(應該是吧?)之紀念文

  1. 詳細的手法在Cechriecom.com.js.php – WordPress Hacked,目前已知有許多WP部落格中獎了,跟上一次的Network Solutions又是不一樣的手法,但是都是找主機商的漏洞鑽,我昨天才發出警示但是好像大家都不在意,請注意不會只有Netword Solutions和GoDaddy而已,相同的手法會出現在各家主機商,拜託大家要作好安全防護措施,以及慎選主機商

  2. 真恐怖,除了WordPress程式要從乾淨的來源(官方網站)下載以外,
    外掛跟佈景主題也都有可能被塞東西進去,非必要最好不要裝一些有的沒的。
    不過最有可能的還是主機本身的弱點,才會導致被注入惡意程式,
    如同前幾個回覆者說的:要慎選主機商!
    否則遇到惡鄰居,真是得不償失。

  3. 那種工具就是俗稱的『FakeAV』,中了之後可以用『MalwareByets’AntiMalware』去移除唷~~

發佈回覆給「魏風」的留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *