我有 5 個谷歌雲端實例,全部運行 bitnami 的 WordPress。今天上午 11 點,所有網站都無法訪問...這很奇怪,因為我沒有更改任何內容,突然之間,不是 1 個網站,而是所有網站同時關閉。嘗試停止並重新啟動實例,但沒有任何效果...SSH 和 FTP 仍然可以存取。我使用新的 WordPress 建立了一個新實例,它正在運行。知道發生了什麼事嗎?
**案件已解決。在插件目錄中發現惡意軟體。請閱讀我下面的回答以獲取更多資訊。
答案1
我發現問題不是 Google Cloud 伺服器引起的。經過幾個小時的調查,我發現我的 WordPress 外掛程式資料夾中有一個惡意軟體外掛程式檔案。重命名後,我的所有網站都可以運行。我不知道這個外掛是如何進入我的 WordPress 目錄的。惡意軟體詳細資訊如下: 外掛程式名稱:自訂程式碼 說明:顯示具有多種選項的自訂廣告程式碼。作者:Alberto Uozumi 版本:1.0
它隱藏在外掛程式選單中,因此您無法在 WordPress 中停用或刪除它。它不是插件目錄中的資料夾類型插件。它在目錄中顯示為“ccode.php”。
我認為這個惡意軟體已經在我的 WordPress 目錄中存在很久了。檢查程式碼後,我注意到它會秘密地向您網站的新訪客吸引廣告。如果您已登入或您是管理員,則此功能將被隱藏。我很早就有客戶向我抱怨,但我沒有看到任何彈出窗口,所以我只是忽略他們。我沒想到會發生這樣的事。
該惡意軟體還具有自動更新功能。我認為它會在今天上午 11 點自行更新,但遇到編碼錯誤或相容問題。因此,我所有的網站同時關閉了。它還有一行程式碼來隱藏插件引起的錯誤訊息,因此,我沒有收到任何錯誤訊息。
我希望我的發現能對社區有所幫助。
答案2
這可能是由於使用了空白模板或外掛程式造成的。我在我用無效插件維護的一些網站上看到了完全相同的事情。始終先檢查 error.log,因為這會立即指出錯誤。如果您找不到受感染的插件,您可以使用 CRON 作業刪除該插件wp-內容/外掛程式/ccode.php每小時歸檔一次或清除文件內容並使其唯讀。
編輯:它還在同一資料夾中創建了一個文件,名為admin_ips.txt它使用的。