You are currently viewing Bluehost上的網站程式受感染如何處理

Bluehost上的網站程式受感染如何處理

前兩天,我架在Bluehost上的WordPress網站,因後端程式受到感染,雲端主機商主動通知要刪除受到感染的程式,在還沒處理完前,它先停用我的帳號。等受到感染的程式全部刪除後,並由雲端主機商掃描完確定沒問題,才會重新啟用我Bluehost的帳號。

首先,雲端主機商因你的網站程式受到感染,它會寄Mail通知你的網站程式碼受感染,必須盡快處理。在未處理完前,會停用你的帳號。如下圖示:

20230112-001

主要是通知你的你網站中有程式受到感染,我到它講的後台cPanel點開檔案管理員,可以在目錄中找到scanreport.txt,這是主機商掃毒後若發現有被感染的程式會記錄在該檔案中。

我開啟該檔案,可以看到在我全部的網站中,有83893筆程式已受感染,需要全部刪除。

裡面的檔案,都是標示SL-JS-GENERIC-rv.UNOFFICIAL FOUND,全部有8萬多筆,平均分布在全部的網站平台中。

因為是第一次遇到,所以看到這麼多筆資料要處理,心裡想說「不會吧,真的要全部的程式都刪除嗎!有沒有其他方法可以在短時間內解決這個問題。」

因為裡面是幾十家廠商的網站,因為受到感染,所以網站的狀態是出現像下面這樣的維護中圖示。

遇到帳號被停用的問題,第一個當然是請問主機商發生什麼事情了,主機商跟我說明我的網站裡有很多程式被感染,需要全部把它們刪除,並由主機商這邊掃描到完全沒有任何程式是受感染,才可以重新啟用我的帳號。

第一天,在完全沒有頭緒時,我本來是想一筆一筆查明原因修改,因為我比對其他雲端主機的網站中,都有相同的程式,只是裡面中多了一些奇怪的程式;不知道是不是被人木馬走後門植入程式碼了。

後來我用「SL-JS-GENERIC-rv.UNOFFICIAL FOUND」關鍵字google一下。大致上都是說要將受感染的程式檔案刪除,然後要不斷的反覆用伺服器防毒軟體進行掃描,直到完全沒有檢測到為止。

問題還是回到8萬多筆檔案,我要怎麼在短時間內處理這麼多筆資料。

第一天晚上我想了又想,我再重新檢視scanreport.txt檔案,我列出要怎麼執行的步驟,我大概會這樣處理。

  1. 檢視這32個網站,區分有哪些是在執行中的網站,哪些是測試用的網站,我請網域管理人員幫忙確認。
  2. 備分還在運行中的網站
  3. 找出受感染的程式碼,是那種類型的
  4. 上網google,有沒有其他有人分享解法

 以上是解決方案的初步想法,因為我還沒有理出方法,但知道先備份網站資料。

到第二天早上,我想了又想,因為我分析出來受感染的檔案中,有幾個類別;先說明一下,會受感染的檔案,全部都是.js的檔案。而這些js檔案我分類後,大致上有下列區別

/public_html/網域/wp-includes/blocks/file資料夾下的js檔案

/public_html/網域/wp-includes/blocks/navigation資料夾下的js檔案

/public_html/網域/wp-includes/js資料夾下的js檔案

/public_html/網域/wp-admin/js資料夾下的js檔案

/public_html/網域/wp-content/plugins/有安裝外掛下的js檔案

/public_html/網域/wp-content/themes/安裝主題下的js檔案

以上這些是我大致上分類出來的結果,事實上也差不多是這樣。而因為受感染的js檔太多了,所以我想一個方法就是先確認每一個網站安裝的WordPress版本是多少、全部安裝了哪些外掛及主題是哪一個版本多少等等。

因為只要是相同的WordPress版本,我只要將

/public_html/網域/wp-includes/blocks/file資料夾

/public_html/網域/wp-includes/blocks/navigation資料夾

/public_html/網域/wp-includes/js資料夾

/public_html/網域/wp-admin/js資料夾

以上四個資料夾刪除,再把對應的資料夾複製貼上即可。

而外掛的話,我一樣也是確認哪些外掛受感染,先將這些外掛全部刪除,然後再下載同樣的外掛解壓縮貼回去就好;主題也是一樣,將受感染的主題全部刪除,然後再將啟用的那個主題下載、解壓縮貼回去就可以了。

想了這樣的方法當然要先測試這樣是否可行,理論上應該是ok的。但我還是事先架設一個網站,然後將外掛、主題及四個WordPress的資料夾刪除,再複製貼回。結果事實證明是可行的(這要歸功於CMS架構的好處)。所以接下來就是時間的問題了,就是按照我上面的步驟,將每一個網站都先刪除四個資料夾,再複製ok的資料夾貼回,以及調查每一個外掛、主題,刪除再貼上正常無感染的外掛主題。

經過昨天及今天半天的作業,終於把8萬多筆受感染的js檔案都清除並複製貼回了。這裡需要注意的是,就是你將受感染的js檔案刪除到垃圾桶,也要將它清理乾清,不然主機商用伺服器防毒軟體掃描時,一樣也會掃出來這些js檔案是受感染有問題的。

這樣經過三次的「掃描<>刪除」作業後,終於將全部受感染的js檔都清理完成,最後由主機商再次啟用我的Bluehost帳號。然後我再次查看全部的網站,結果是全部都正常了。太棒了~終於得救了!

以上是我在Bluehost主機受感染後的整個處理狀況流程分享。

發佈留言