2011.08.29

in 杂谈 with 21 comments

昨天在微博看到一个不错的个人博客站点出现问题,google搜索结果被劫持,直接跳转到hitpitlit.osa.pl。当时柴子就联想到最近的美国ISP劫持事件(链接),结果走入歪路,还是天毅和A.shun 判断正确,是被人植入了代码。

刚才天毅拿到cp,直接查看代码,最后终于在wp-config.php中发现问题(真猥琐,该文件不会随着程序更新而更新)

eval(base64_decode("DQoNCmVycm9yX3JlcG9ydGluZygwKTsNC…………QoJfQ0KCX0=")); (不完全引用,太长)

base64解码后:

天毅怀疑是前苏联尤其是俄罗斯人的代码,哦~ 传说中地球上最强悍的地区

Responses
  1. 我的博客也被挂了这个木马,根据博主的方法处理了,在等谷歌审核的结果。

    感谢博主!

    by the way,博主知不知道这个木马怎么挂上去的。我想应该不是在后台。很可能进我的空间直接修改文件了。

    Reply
    1. @Dreamlikes

      被挂的话,肯定还是拿到后台或ftp了

      Reply
  2. 遇到同样的问题,我被劫持到costabrava.bee.pl
    根据您的提示,已经清除,十分感谢!

    Reply
    1. @sealin

      客气,解决问题就好

      Reply
  3. 愤怒的小鸟

    大神啊,我的网站也是这样,已经困扰好久了,清理之后过几天又出来,跳转的网址也是这个,求救解决办法啊。。。

    Reply
    1. @愤怒的小鸟

      查看你的wp-config.php,清除掉恶意代码

      Reply
  4. 猴子

    我也有这个问题。。。代码也差不多 。。大神 。。怎么处理啊 。。我都替换了 但是 又出现 又替换了 又出现。。。大神 怎么 根治啊。 膜拜中。。

    Reply
    1. @猴子

      分析你的access log试试看……

      Reply
      1. @天毅

        问题解决了?

        Reply
  5. 个人站长的悲哀,有时要认真做站,偏偏有人阻碍。

    Reply
  6. lowstz

    楼上大神,前来膜拜,瞻仰

    Reply
    1. @lowstz

      讨打

      Reply
      1. @柴子

        你应该回复:你才是大神,你全家都是大神。

        Reply
        1. @Terry Chen

          楼上的除我外全在跳大神。。

          Reply
      2. 呵呵
        @柴子

        你们都是大神

        Reply
  7. 受害者来报到。。。感谢二位大神鼎立相助啊~

    Reply
    1. @Sandox

      客气,基本都是天毅的功劳~

      Reply
  8. 楼上的都是大神,小菜前来膜拜!

    Reply
    1. @Terry Chen

      我楼上的才是……

      Reply
  9. 牛人现身~~ 其实应该不说是你拿到cp,直接描述成hack进去查看代码,这故事就完美了

    Reply
  10. 柴子大神威武!

    Reply