打开网页NOD32立马提示病毒,上网一看说WordPress存在着XSS漏洞,对WordPress不熟悉只好通过升级安装到最新版本搞定这个问题。
接着顺便访问下自己写的Blog,居然同样被挂马了,感到杯具之余正好分析下这马的调用方式。拖下所有文件,查找和首页挂马代码相似的代码:
1. 发现所有目录index.php最开始处都被挂了一段代码,基本能说明挂马操作是程序自动处理的。
2. 内容被PHP base64编码和JS fromCharCode混淆过。
3. 如果访问者是搜索引擎的爬虫,则不执行挂马操作,这样不会让搜索引擎将网站标识为恶意网站(这次知道被挂马,是一个不在这个列表里的搜索引擎提醒的)。
顺便附上相应代码,知己知彼,百战不殆。