黑客攻击后恢复wordpress网站

时间:2016-10-05 01:50:54

标签: wordpress security dreamhost

我的目标是让我的网站在sophos上扫描时有一个干净的健康状况。我的域名为http://www.michaelalexis.com

  1. 去年我注意到谷歌上的“这个网站可能被黑了”标签
  2. 使用谷歌网站管理员工具和我的托管服务提供商(dreamhost)扫描清除一堆恶意代码。似乎有两种类型:1。“我们是一群抗议......”,2。一堆日本内容,我认为是垃圾邮件的SEO产品?
  3. 没有工作清理谷歌网站管理员工具,所以我删除了域上的所有内容,并重新安装wordpress,有最小的插件,其中大部分是自动的
  4. 它奏效了!谷歌网站管理员工具清除
  5. 我注册了表单的广告系列监控器,但他们阻止了我的访问权限。他们向我展示了这个页面的原因:https://www.virustotal.com/en/url/83ea6e0588af14c5c71dc12bc3f9a2910df771b6315fa3d6a59688ad3ecfea52/analysis/1475631239/
  6. sophos问题已存在一段时间,“cleanmx”是新的,我不知道这意味着什么
  7. 我和dreamhost一起来回走了几次 - 他们通过扫描说这个网站很干净。谷歌网站管理员工具也没有问题
  8. 但是这样的东西仍会出现在谷歌上(我的域名是michaelalexis.com:https://www.google.ca/search?q=michaelalexis.com%3A+%E3%82%BF%E3%82%AD%E3%83%AD%E3%83%B3+%E3%82%B0%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B9%E3%83%88%E3%83%A9%E3%83%83%E3%83%97+%E5%B5%A9%E4%B8%8A%E3%81%92+%E4%BD%95%E6%95%85&oq=michaelalexis.com%3A+%E3%82%BF%E3%82%AD%E3%83%AD%E3%83%B3+%E3%82%B0%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B9%E3%83%88%E3%83%A9%E3%83%83%E3%83%97+%E5%B5%A9%E4%B8%8A%E3%81%92+%E4%BD%95%E6%95%85&aqs=chrome..69i57.4984j0j7&sourceid=chrome&ie=UTF-8
  9. 我不知道这些日文页面中有多少存在或者它们是否存在?我在数据库中搜索了我在分析中看到的一些术语,但没有找到任何内容
  10. 去年被黑客入侵时,有人在我的dreamhost面板中创建了一个新的数据库用户并在wpconfig中更改了它,当我做了全新的安装时,我做了一个更安全的密码等等,但看起来它又被替换了。我切换回我创建的用户,并更改了我的dreamhost webpanel密码
  11. 似乎dreamhost webpanel密码可能是问题,但我在帐户上有10多个其他域名,没有一个受到影响
  12. 问题:

    1. 如何删除所有日文内容(以及其他任何隐藏的内容)我是否再次安装wordpress?我的目标是清洁扫描
    2. 关于cleanmx的问题是什么?
    3. 谢谢

      编辑:我注意到大多数日本搜索导致我网站上的页面不存在。但那些页面DID存在于我的旧网站writerviews.com上,现在转发到michaelalexis.com - 我发现只有一个例外,页面实际上是mynewdomain.com/page-on-old-domain/

      更多日本搜索的例子:

      https://www.google.ca/search?q=michaelalexis.com%3A+%E9%89%84%E6%9D%BF%E6%95%B7%E3%81%8D%E3%81%AE%E4%B8%8A%E3%81%AB%E6%BB%91%E3%82%8A%E6%AD%A2%E3%82%81%E3%82%B4%E3%83%A0%E3%83%9E%E3%83%83%E3%83%88%E3%81%AE%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6&oq=michaelalexis.com%3A+%E9%89%84%E6%9D%BF%E6%95%B7%E3%81%8D%E3%81%AE%E4%B8%8A%E3%81%AB%E6%BB%91%E3%82%8A%E6%AD%A2%E3%82%81%E3%82%B4%E3%83%A0%E3%83%9E%E3%83%83%E3%83%88%E3%81%AE%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6&aqs=chrome..69i57.4185j0j7&sourceid=chrome&ie=UTF-8

      https://www.google.ca/search?q=michaelalexis.com%3A+%E3%82%AD%E3%83%A5%E3%83%AA%E3%82%AA%E3%82%B1%E3%83%BC%E3%82%B9+%E3%82%AC%E3%83%A9%E3%82%B9&oq=michaelalexis.com%3A+%E3%82%AD%E3%83%A5%E3%83%AA%E3%82%AA%E3%82%B1%E3%83%BC%E3%82%B9+%E3%82%AC%E3%83%A9%E3%82%B9&gs_l=serp.3...2915.6780.0.7000.23.19.2.0.0.0.285.1986.6j9j1.16.0....0...1c.1.64.serp..14.1.172...30i10k1.qovbDzO51Gw

      编辑2:广告系列监控说这是问题:https://www.sophos.com/en-us//threat-center/threat-analyses/viruses-and-spyware/JS~RefC-Gen.aspx

1 个答案:

答案 0 :(得分:1)

这让我想起了我很久以前遭遇的黑客攻击(制药黑客攻击)。感染具有类似的症状:它创建仅对搜索引擎可见的新页面。它将自己安装在数据库中,因此全新安装无法解决问题,因为一旦您恢复了网站,黑客就会回到那里。

我不确定JS / RefC是否是这里的真正罪魁祸首,您可能需要在您的网站上调查更多... Google sees a lot of pages with Japanese content,将404返回到正确的浏览器的页面。使用https://www.google.com/webmasters/tools/googlebot-fetch查看Google在您的网站上看到的内容。

您是否尝试过较新的Malware Remover service at DreamHost