前段时间因为备案买了阿里云99 一年的 ecs,上面就部署了几个静态网站还有两个 docker 容器。想着闲着也是闲着,准备起个关于大姨妈知识的类似 wiki 的站点。
本来是想自己写前端页面,后台使用大姨妈的后台服务。思考了一下,app 系统的富文本编辑功能太弱了,不好维护文章于是转而直接使用 wp 部署。前面一切顺利,直接关闭评论之后,安装的插件也少了很多,主要是这个服务器的性能不足以运行太多插件。另外一个就是选择主题,随便搜索了一下,也没找到比较好看的主题,所以后来也是之计从 wp 的官方主题库安装的主题。
期间为了修改主题的函数文件,安装了一个 child theme generater。最开始添加了一些函数没有出现问题,然鹅,在发现子主题页面样式出现问题之后,切换到原主题页面样式却又正常了,初步怀疑是这个子主题出现了问题。
删除子主题,重新生成,页面样式依然是错误的。这就神奇了,打开插件管理页面直接报错了,是个看起来是 4043的错误页面:
这个 403 页面显示服务器系统是 tengine,这就很奇怪了,服务器用的 nginx 怎么会有其他的服务?
查看页面源代码:
直接就是 html 内容,也就是说这个文件被改掉了。至于是谁改的,这个就很奇怪了,期间并没有安装过其他的乱七八糟的插件。那么,唯一的可能就是官方下载的主题文件或者插件文件携带木马,在安装激活之后下载并且修改了一些系统文件。
早上登录阿里后台,发现一堆木马报警:
而这个时间点貌似自己在更改主题,以及进行相关的修改。而这些主题都是从 wp 官方下载的,也就是说这些官方的主题并不安全。引入的一切其他资源很可能是有问题的。
在定位文件之后,对相应的文件只能逐一进行删除,除此之外没有什么更简单的办法。
另外一个问题就是,阿里云的这个 99 的服务器性能只能说还是比较欠的,跑这点东西内存就直接跑满了。
现在看来这些恶意程序的传播已经不是单纯靠线下传播了,官网下载的插件或者主题也有可能被植入恶意代码,如果没有什么特殊的要求,还是少安装各种插件或者主题吧,最起码不要安装不知名的主题或者程序。
现在反观那个 403 错误,应该是恶意代码在下载对应的恶意文件时候被拒绝访问了,所以直接把 403 错误页当做恶意代码下载到了插件安装文件内,导致出现了 403 错误,嗯,就很棒。不然按照正常的逻辑应该是继续假装自己是插件管理页面,提供插件管理功能,并且同时运行恶意代码实现一些其他的非授权功能。
想学习大姨妈相关知识的,可以访问这个网址:https://wiki.guimiquan.cn
嗯,天干物燥,小心火烛!
39 comments
好家伙🤣离谱啊
的确,这个结果却是是出乎意料,没想到官方下载的东西竟然是有问题的。
向官方举报一波,主题作者名和主题名写出来让大家避坑。
太复杂的主题我都用不来,所以我都很少用别人主题,插件更是用的少,这几年为了追求速度才装了写缓存什么的插件,以前都没有。
昨天安装的东西太多了,不大好确定是哪个的问题。
目前已经把无用的主题和插件全部卸载了。
比较大的可能是主题文件导致,好几个主题要求安装第三方插件,但是这个插件来源不好确定,所以可能是测试主题的时候,提示安装插件,这时候引入的木马文件。
遇到这种安装主题要安装第三方插件的主题要小心了,安装的插件可能并不是从 wp 官方下载的。
好久来一个露脸全身照啊
期待
这个啊,那你得好好等等了。😂
天荒地老,海枯石烂我也等
我就是在用这个服务器,是真的很一般。稍微重点的任务就拉垮
嗯嗯,是的,性能非常拉跨。稍微大点的东西直接就满负载了,尤其是内存,是在捉襟见肘啊。
不过这也算是压榨ecs 性能了。哈哈哈
我博客也是放在这台服务器上面,还有一个网站搞了个采集内容,一采集整个服务器就卡😂
你这个更狠,竟然还跑采集器,内存爆了吧?
我也买了一个99的ECS,不过还没想好怎么整
跑点小服务没问题,wp之类的有点吃力。
99这个来个链接,我要做个国内图床正好。
https://www.aliyun.com/activity/2024purchase/purchasing?spm=5176.28508143.J_4VYgf18xNlTAyFFbOuOQe.1.e939154a8W8ffH&scm=20140722.M_185485774.P_128.MO_1774-ID_10314565-MID_10314565-CID_31226-ST_10134-V_1
check this
谢谢女王大人的链接。如果你要是下载主题,我建议你就选那几家常发主题的机构,别下载个人的主题。然后也不用他们的插件,我用的主题几乎就两三家发不商,审美在线,然后安全有保障,那种个人发布的,bug特别多,确实也不安全。当然也有牛批的个人开发者,我也用过那种开发出来好几十个主题的作者,给这种点个赞。
就是怕这个 所以从wp的在线主题直接安装的,都没躲过去。我也是服了
哈哈哈,官方的才最容易让人栽跟头
关键是最开始都没想到能出现这种问题,有点离谱了
最好还是能确定下是哪个插件搞的
尸骨无存啦~~不好溯源
内存直接拉满了
是哒,不浪费任何一点内存。哈哈哈
那服务器转眼间已经买了半年没弄了
可以弄点东西部署上去啦
厉害厉害,wiki都整出来了
准备嵌入到app内 😁
没有遇到过这种情况,这样看来wp官方的审核也不是太严格。
是啊,这种问题都能出现。
不过 wp 的审核插件首次上架的时候会进行 code review,要求代码不能混淆加密,还是挺严格的,后续就不知道了。
之前想把改的插件发布,了解了一下。
即便是官方安全也不行,几年前我的网站底部用了自己改的状态栏播放器,突然有一天被主机商警告不安全,但我一直查不出来原因。直到一次我用百度搜索我的域名查看收录详情,才发现一个有色网站偷了我的状态栏播放器代码进行远程调用,果断把播放器停了。
这~~但是这个没办法,不在自己的控制范围之内。
这种不会影响自己的安全性,不过是域名受影响。
阿里其实我是很不相信,从最开始用阿里到后来启用腾讯,原因就是阿里服务器总是爆各种问题,阿里有各种付费的方案,无数次我在怀疑是不是阿里放水,故意的,然后让我去买他们的各种付费产品,刚开始各种短信邮件通知真的烦人,后来实在扛不住手机用了停掉的,邮箱也随便注册个用着。
这个倒是不见得是阿里的问题。最近阿里也是各种电话推销服务,不过我都给拒了。
我的插件都是自己动手写的,所以没有这个烦恼
嗯嗯,这也是我的感觉,有人说慢,但是我一直也没觉得有多么拉跨啊。
看来wordpress验审不那么全面。
靠不住啊,靠不住
wp官网的主题只有第一次上传审核严格,后面更新都直接通过,如果有人刻意为之,难免的
靠自律毕竟是不靠谱的