网站杀毒记


如今用独立域名+虚拟空间+wordpress自己建设Blog的人,似乎已经没有几年前那么多了。作为依然坚守的独立blogger,最近我碰到了网站被修改.htacess文件、插入恶意代码的倒霉事儿,很是纠结了一阵。好在最终圆满解决了(暂时看起来是),真是人生何处不折腾!

看起来,是因为zenphoto这个相册软件的旧版本中所携带的一个第三方插件ajaxfilemanager,导致了不怀好意的入侵和修改。下面是具体过程。

3月19日那天访问ohmymedia.com,结果Chrome无情地给了我一个警告页面:

接着发现我的虚拟空间中所有网站(大约十几个,有自己的和朋友的博客、网站、相册等)全部都被google警告“含有恶意软件”。

赶快用ftp登上远程目录看一看。不出所料,所有的.htacess文件都被改掉了,导致所有网站的内部链接都会指向一些垃圾网站,域名是.ru的。删除或修改这些文件是无效的,几分钟之内它们会卷土重来。

郁闷了。因为大概两个多月前就来过这么一轮。当时也是类似情况,最终是联系空间提供商Dreamhost的客服搞定的。它们帮我找出可能导致出现后门的文件,我去删掉,再删除所有被改的文件。当时看似正常了。

可是又来了啊,为什么?而且这回,很多目录里被塞了几百个诸如w13142345n.php一类的垃圾文件,删了又回来,不胜其扰。这些天又在做北京大学生电影节的组织工作,忙的没功夫打理。

再度给客服写邮件。同时忙里偷闲,想尽各种办法减轻危害。在午夜时分,一边开着ssh终端,一边开着ftp软件,一边开着浏览器登录dreamhost panel,我觉得我就像传说中的西西弗斯!一遍遍删除迟早又会回来的垃圾文件……

还把所有站点,都恢复到两周前的备份文件。

这回客服回复得不够及时,中间几次催问。不过效果还不错,今天终于给我回了一封长达一百多行的email,包括它们检查的各种结果,帮我做了哪些处理,以及我需要做哪些事情,可能导致后门的文件是哪些。按照它的指引,一步步做下来。至少这次,那些讨厌的垃圾文件删除后就不再回来了。

结合客服mm给的信息,在网上搜索一番,基本确定是相册程序zenphoto的旧版本中的插件的安全漏洞(官网文章其他讨论)。好吧,重新下载安装了新版的zenphoto程序,wget….unzip…cp -rpf…貌似OK了。

当然,最后还要去google的站长管理工具里,提出让google重新审核这些网站。于是,现在我光荣地洗白了!

又无奈地长了一次经验值。


发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据