好友的博客被挂马了,每次用浏览器进去都显示存在危险提示(如下),受邀进行处理。

由于之前Dreamhost的空间存在安全漏洞,上面好个网站都被挂了马,清理之后对文件权限什么都做了处理,这次又被挂,初步判断是在WP的插件或者模版上的问题。

经过排查发现浏览器警报的恶意地址,没有在页面代码里出现。难道是Google搞错了?

不死心,激活了Webmaster tools,信息里提到有3个页面怀疑被污染,遂逐个检查,后台和页面里都没有异样。

难道核心代码被污染?重新安装WP后,仍未解决。

打开页面源代码,将头部的CSS和JS都点了一遍,问题来了,有几个wp-include里的js/css会被重定向到一个ip地址,判断应该是这几个文件被污染。

奇怪的是打开终端找到这几个文件,发现内容很正常,完全没有可疑的地方,见鬼了?

想到WP也许可能接管文件请求,于是顺手翻一下.htaccess,果然问题就再这里,文件被改写了,加了一大段重定向请求,我没仔细看就把文件给删了,然后进WP后台,重新设置了一下Permalink Settings,生成了一份新的.htaccess。

检查了一下之前发生问题的几个链接,都已经恢复,重新再webmaster tools里提交了审核,希望明天Google刷新就好了。