最近幫忙建置的WordPress網站中了 “dns.firstblackphase.com” 及 “get.sortyellowapples.com” 兩支病毒廣告,中了這兩支病毒您的網站在使用瀏覽器開啟時,會不斷被重新導向到firstblackphase.com站點及sortyellowapples.com站點。
每隔一段時間,攻擊者就會註冊一個新的網域來託管他們的惡意軟體。在許多情況下,這些新的網域與特定的惡意軟體活動相關聯,通常會將合法網站流量重新導向到他們選擇的第三方網站有關的包括技術支援詐騙、成人約會、網絡釣魚或路過式下載。
我的網站是從上個月2023年1月開始受到這類型的功擊,那時是雲端主機商直接通知先把該主機上的網站暫停,我只能透過ftp的方式到後台將全部的js相關更新為WordPress最新版本的js檔案。那次的解決經過1個月後,又有新的病毒方式。
因為當時解決完後,沒有更新登入主機的密碼,所以這次的中毒,首先我把密碼更新,接著上網找了一下中了這類病毒會出現的狀況,首先我是用SUCURi 提供的掃描工具先掃描我中了什麼病毒。SUCURi掃描病毒的網址 https://sitecheck.sucuri.net/ 各位若中了這類型的病毒可以將網站的網址貼上去掃一下,它會帶出你中了哪些病毒。
我出現了兩支病毒,提示是 “dns.firstblackphase.com” 及 “get.sortyellowapples.com”這兩支病毒,這裡無法提供畫面,因我一開始沒有先截圖下來。不過它的提示是”this page includes a javascript/iframe from get.sortyellowapples.com that is blacklisted by sucuri labs, reason: injected script,……”等等這樣的字樣。
因為是比較新的廣告病毒,所以幾乎沒有人分享這個病毒要怎麼清理,不過我還是有找到有一個人在twitter分享中毒後的狀況。https://twitter.com/unmaskparasites/status/1623407097949077504
下面我大致上說明我是如何清理中毒的程式檔。
1. 首先要先確認你網站WordPress的版本,然後到WordPress.org上下載對應的版本,一般會是最新的版本。
2.接著連線到網站的後台,看是用ftp或是cpanel工具.然後查看在public_html下的檔案更新時間,因為像是index.php、wp-blog-header.php等等這些檔案不應該會是最新更新的時間才是,有發現這些檔案被更新過,代表它們被植入後門程式碼,它的內容會像是下列這些圖示。
3.當我們點開一些近期被修改過的檔案,可以發現裡面被植入一段編碼過的程式碼,像下面這樣。
4.這些程式碼在前端的網頁會生成只要我們連上網站就會重新導向它植入的廣告頁面網頁。
5.當我們在自己網站的頁面按下”檢視網頁原始碼”,可以看到在程式碼中可以看到下列的javascript程式,有的話代表真的就是被植入病毒。
所以我們大致上瞭解了中毒的情況,這些狀況都是因為.php中被植入不明程式碼,也有可能是 .js 檔案被修改過。所以我們要做的方法有下列幾步。
- 確認哪些程式是近期被更新的,直接開啟該檔案,將其中被植入的程式碼刪除。
- 若是有些程式碼的檔案名稱是奇怪的命名方式,就是直接刪除。
- 若是.js檔檔被修改,就是直接用WordPress.org下載下來的js檔,直接替換中毒的程式檔案。
- 變更雲端主機的密碼及網站登入管理者密碼。
- 基本上只要這樣作業,大致上就可以解決網站中了廣告病毒的問題。
- 要確定有完全清除中毒檔案,就是不斷的用SUCURi 掃描自己的網站有沒有清裡乾淨。
以上內容是我提供的解決方式,謝謝!
