Duke
Duke
2021年11月23日

今天访问自己网站的时候发现时不时会被重定向到奇怪的外国网站,但隔一会儿又消失。

实际原因是网站被黑了,被黑客安装了一个恶意插件,名叫”Zend Fonts WP

恶意插件的特性

  1. 在网页头部插入JavaScript代码,将访客重定向至既定的垃圾网站
  2. 记录管理员IP和UA,有选择的只重定向访客,不重定向管理员所以较难发现
  3. 在网站数据库创建 wpwzen_time_tablewusers_inputs 两个数据表
  4. 插件会将自身从WP后台插件列表中隐藏,所以后台插件列表看不见这个插件
  5. 该插件中使用Base64加密隐藏重定向的目标网址
  6. 此插件文件位于 wp-content/plugins/zend-fonts-wp/

清除方法

  1. 通过FTP或文件管理删除 wp-content/plugins/zend-fonts-wp/ 这个目录
  2. 删除 wpwzen_time_tablewusers_inputs 两个数据表
  3. 修改WordPress登录密码

原因

暂不确定制作者是如何将插件文件放置在网站的,是注入还是破解了WordPress后台密码,抑或是破解了SSH或FTP,原因不明。

建议所有使用WordPress的站长检查 wp-content/plugins/ 目录是否存在 zend-fonts-wp/ 这个目录,一旦有需要立刻删除。

@科技

本作品采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)进行许可.