在之前的一段時間，有不少的朋友的WordPress網(wǎng)站遭受了攻擊而被掛上木馬，造成網(wǎng)站會進行跳轉(zhuǎn)到一些購物、賭博等等網(wǎng)站上，對我們的網(wǎng)站訪問會造成非常惡劣的影響，并且會極大地拖慢我們網(wǎng)站訪問的速度，接下來我們就來分析一下，被種木馬之后應(yīng)該如何進行查殺木馬，如何防止被種木馬。

網(wǎng)站被攻擊而種上木馬的一般情況

木馬植入在絕大部分情況下，黑客是不會一對一的進行植入，而是采用效率更高的廣泛攻擊。

很多朋友說，我的網(wǎng)站就是一個小網(wǎng)站，企業(yè)展示型的，沒什么流量，關(guān)注度不會很高，黑客不會攻擊的吧？

這樣的思維大有人在，黑客在對網(wǎng)站進行攻擊種植木馬時，很大一部分并不是看見你的網(wǎng)站而單獨針對你的網(wǎng)站進行攻擊,而是通過廣撒網(wǎng)，利用程序進行廣泛的嘗試攻擊，遇到能夠攻破的網(wǎng)站就馬上種上木馬，所以只要你的網(wǎng)站或者服務(wù)沒有做好必要的防御工作，那么就會有非常高的風險被植入木馬。

木馬植入的2種常見的方式

篡改網(wǎng)站文件

在網(wǎng)站被攻擊之后種上木馬最常見的方式是篡改網(wǎng)站文件，如WordPress的根目錄中index.php文件，這個文件篡改之后會對全站造成影響，也有可能對主題的header.php、footer.php進行篡改，也會影響到整個網(wǎng)站，從而整站都會跳轉(zhuǎn)。

解決方案，重裝WordPress程序、重裝主題，2種方式可以進行重裝：

1.后臺重裝，WordPress主程序可以在儀表盤--更新處點擊重裝WordPress，WordPress主題若支持后臺升級，可以在外觀--編輯中將版本號改低，然后進入儀表盤--更新處進行更新。

2.ftp重裝，下載最新的WordPress主程序和主題程序，WordPress安裝包使用本地覆蓋除了wp-content文件夾之外的所有文件，WordPress主題覆蓋所有文件。

篡改數(shù)據(jù)庫

數(shù)據(jù)庫的篡改，會將木馬代碼錄入到你的數(shù)據(jù)庫中，而這些數(shù)據(jù)會被調(diào)用在頁面上，以WordPress為例，一般的木馬會錄入到你的WordPress頁面、文章中的正文，這種方式比較隱蔽，很難被發(fā)現(xiàn)，并且如果文章數(shù)量較多，影響的頁面和文章數(shù)量也非常大，造成首頁、分類目錄、歸檔頁、搜索頁不會受影響，而只有文章、頁面受到影響，在沒有查明木馬的位置時，具有非常大的隱蔽性，甚至有的木馬非常聰明，從cookies判斷是否彈出過頁面，若彈出過頁面就不再彈出了，給我們檢測造成錯覺，更加難以找到木馬位置。

解決方案：在會彈出的頁面（也就是被感染的頁面）空白處：右鍵---查看源代碼，在源代碼中ctrl+f 搜索彈出的目標鏈接，如果搜索不到，可以搜索<script?????? 查看所有的腳本，是否有非常陌生的腳本外鏈存在，點擊腳本鏈接打開腳本檢查是否有目標外鏈的存在即可檢查到相關(guān)腳本。

WordPress網(wǎng)站木馬清除實例回顧

下面是一段清除WordPress頁面和文章中的例子：

某用戶網(wǎng)站會在第一次進入網(wǎng)站時，點擊進入某些頁面跳轉(zhuǎn)一個國外的購物網(wǎng)站，并且在彈出之后一次之后就不再彈出了，這樣一開始迷惑性非常高，造成不停的去尋找網(wǎng)站文件中的木馬，浪費了很多時間。

所以從前端輸出的角度，在彈出的頁面中查看網(wǎng)頁的源碼，進行搜索彈出的目標網(wǎng)站地址，結(jié)果是無，也就是并沒有在前端輸出鏈接，所以可以判斷，應(yīng)該是以外鏈的方式鏈接一個彈出的腳本，所以我們在源碼中搜索“??<script?? ? ”，查找陌生的外鏈js文件，找到如下：

這段代碼引用了一個非常陌生 的js文件，從路徑上分析，他并不是我們的網(wǎng)站內(nèi)部鏈接，也就可以排除掉并不是我們網(wǎng)站上所加載的腳本，所以我們抱著嘗試性的態(tài)度打開這個js文件（在瀏覽器中輸入這個js文件的url：http開頭 js結(jié)尾）

得到腳本代碼如下：

可以看到我選中的url就是木馬所彈出的目標網(wǎng)站，現(xiàn)在就可以判定這個文件就是隱藏在網(wǎng)站中的木馬了。

找到位置就非常容找到木馬并清除了，首先檢查一下文件，這個彈出的頁面是WordPress的頁面，所以我們檢查了主題文件中的page.php，結(jié)果是沒有異常，之前也是用安裝包進行覆蓋過，所以可以排除文件感染的嫌疑，所以我進入了后臺--編輯這個頁面，在編輯器中打開文本模式，就看到了這個木馬：

可以到編輯器中連續(xù)出現(xiàn)了幾段這樣的代碼，這樣我們就可以開始清理木馬了。

如果你對mysql的sql語句比較熟悉，那么我們可以進入網(wǎng)站phpmyadmin，sql語句如下：

UPDATE?wp_posts?SET?post_content?=?replace(post_content,?'將木馬的代碼復(fù)制進來','');

將木馬的這段js代碼替換為空即可。

如果不熟悉sql語句，可以人工刪除一下，每一篇文章和頁面打開編輯器的文本模式，將木馬清除。

實戰(zhàn)總結(jié)

這一次的木馬是一個遠程的連接文件加載的跳轉(zhuǎn)代碼，如果黑客將這個遠程的文件保存在我們網(wǎng)站的文件目錄中，特別是無法完全替換的文件夾，如我們上傳圖片的文件夾，wp-content\uploads 里面，就很難去找到陌生的url了。所以如果找不到陌生的url外鏈的腳本文件，我們就只能逐個檢查js腳本了，首先可以排除主題、插件內(nèi)的腳本，這些腳本是可以在文件中覆蓋的，排除這些腳本文件之后再繼續(xù)查找就能找到了。

總結(jié)起來查找方式就是在遭受木馬感染的頁面上查看源碼（請注意：此方法是先覆蓋掉所有網(wǎng)站文件之后，仍然無法清除再開始的）：

1.首先查找目標鏈接，如果是內(nèi)置的腳本有可能會加密，也可以搜索目標鏈接的一些單詞，如www.xxxx.com 搜索不到，可以搜索xxxx 。

2.目標鏈接搜索不到，開始查詢腳本，源碼中搜索“??<script?? ? ”，排除所有主題、插件的腳本，查看每一個腳本是否有目標外鏈。

3.查詢到之后，注意木馬位置，查看WordPress的編輯器文本模式、如果輸出了自定義欄目，查看自定義欄目中是否帶有木馬代碼，知道后使用sql語句清除，或者手動進行清除。

4.我們也可以借助第三方的安全網(wǎng)站或者軟件，例如360網(wǎng)站安全檢測，這里不做詳細介紹，我們會在以后出一篇教程進行詳細介紹。

WordPress網(wǎng)站如何防范木馬攻擊

被種上木馬的WordPress網(wǎng)站，絕大多數(shù)是因為自己的網(wǎng)站安全意識不高，讓黑客有了可乘之機，所以每一個網(wǎng)站都需要做好防御和備份：

1.定期備份網(wǎng)站的文件、數(shù)據(jù)庫，隨時可以恢復(fù)整個網(wǎng)站。

2.最容易疏忽的內(nèi)容，密碼過于簡單，網(wǎng)站后臺賬戶密碼不要一樣，后臺用戶名不要使用admin，域名等一下就能猜出的名稱、密碼必須是數(shù)字+英文大小寫字母+特殊字符。

3.ftp和數(shù)據(jù)庫賬號密碼不要一樣，密碼也需要足夠復(fù)雜，不要設(shè)置太簡單的。ftp在網(wǎng)站工作上傳完成之后，可以關(guān)閉的話盡量關(guān)閉。

4.安裝一些WordPress安全插件，讓黑客無法暴力破解你的網(wǎng)站用戶名和密碼。

5.mysql數(shù)據(jù)庫遠程連接可以關(guān)閉的話，一定要關(guān)閉，WordPress使用localhost連接數(shù)據(jù)庫。

6.如果是虛擬主機，以上的功能足夠防御了，因為虛擬主機的服務(wù)商會做好服務(wù)器安全配置的工作。如果是服務(wù)器，那么你需要更加專業(yè)的配置，你可以聯(lián)系所在服務(wù)器提供商為你的服務(wù)器進行安全檢測和配置，或者裝上云鎖、安全狗、360主機衛(wèi)士等第三方安全軟件進行防御。