歪酷人 | 2012-02-18 | 标签: | 2 Comments

在通常情况下，我们不会就某个程序的安全问题过多的发表评论。然而最近我们多次在对用户的网站进行检查时——这不是一种严格的内容审查制度，然而出于众所周知的原因和代替用户承担风险的考虑，我们会在力所能及的范围内浏览用户的网站——发现有恶意代码被注入，并且不止一次，不止一人。

当我们第一次发现时，如果正巧是我们较为熟悉的 WordPress，我们会尝试着找到被注入恶意代码的文件，将代码清除；评估风险系数，决定是否修改用户的密码；Email 用户进行安全提示。

如果不幸用户使用的是我们几乎没有了解，或者干脆是“来源不明”的程序，那么我们很难有简单的手段来清除隐患。举例来说，如果是一个显而易见的木马文件，那么例行的病毒扫描或能在情况还不至于太糟糕的时候发现它，但是，许多情况下，恶意代码是通过 eval 加密，以 javascript 或 iframe 的隐蔽方式导向恶意网站；重定向或者其他黑帽 SEO；利用已知或 0day 的程序漏洞未经授权取得权限……后者很难被防病毒软件发现，但仍然侵犯了用户的利益。我们需要用户对网站自身的内容负责，然而有时候人们倾向于亡羊而不补牢，很遗憾已经有这样的例子，因为安全问题——更准确的说，缺乏安全意识，对我们的提示视而不见——而被迫永久地停止用户的托管服务。

在这里管理员希望举一个关于 WordPress 的典型例子。

在过去几天我们在浏览某个用户的网站时，Avast 提示网页存在安全问题。感谢 Sucuri 提供了一个免费的扫描服务，借此，我们找到了恶意代码。出于其他考虑，我们没有在此贴出具体的代码，然而如果您有兴趣，可以查看 Sucrui 在他们网站上的说明：http://sucuri.net/malware/malware-entry-mwjsdepack

第二步是查看网页的源代码，找到恶意代码的位置并判断它可能在哪个文件中。我们首先查看了用户 WordPress 所使用的主题文件夹下的 footer.php，并没有发现异常，接着在 同一文件夹下另一个经常被污染的文件 functions.php 中找到了恶意代码。

把那段代码清除，但这还不是结束。

我们写了一个简单的 shell 脚本对服务器上所有的 functions.php 文件全部扫描了一遍，结果在另外 2 个 WordPress 网站下找到了同样的恶意代码。

因此，你可以认识到安全问题绝不是个例，而是一个普遍现象。我们的防火墙每天会屏蔽几十个尝试暴力破解的恶意 IP，有时候这个数字是 3 位数。

Yculer 歪酷人是一个致力于为小众范围的用户提供网站托管服务的团队，不是安全团队，但针对一些显而易见的错误，给出一些入门的安全提示是有必要的：

1. 不要使用“破解”或来源不明的程序，你可能为此付出代价。
2. 如果有可能的话，在选择建站程序时，避免在安全上饱受非议的选择（比如需要“安全审计”的DEDECMS）。
3. 使用一个复杂的随机密码，千万不要使用 admin 或 123456 这样的弱口令。
4. 升级您的程序到最新版本，它们可能对已知的漏洞作出了修复。

最后，如果您有相关的疑问，欢迎您与我们联系，虽然我们不能解决所有问题，但可以给您提供一个相对靠谱的建议。

分类：未分类