wordpress站群分析：站群网站被黑了怎么办？

如果网站中毒了，media 翻开不能显现，并且无法上传图片，并且只需翻开网站，电脑的防毒站群软件就会报错。今天 wordpress 站群共享一下，通知咱们假如站群网站被黑了要怎样办。

1. 找到站群网站被黑点在哪里

收到客户的资讯后，我立刻翻开电脑检查，除了网站的 media 无法显现任何图片，也无法上传之外，还发现网站俄然十分占电脑 CPU，只需一翻开页面，CPU 就满血到 98%，导致电脑十分卡，除此之外，网站其他功用暂时还能正常使用。

因此我估测不算特别严峻 (假如严峻的被黑是整个空间充满了病毒 (恶意站群程序)，网站也打不开)，要么是网站被挂了黑链，要么是网站被挂了恶意代码。于是先用 http://www.unmaskparasites.com/查询一下是否被挂了恶意站群程序，公然，查询结果呈现了几行可疑的代码，并且链接到了 coinhive.com 的资源。问题点就在这儿。由于我做的网站我很清楚，不行能有这样的代码。

然后在自己的网站上面右键 – 检查，然后用 ctrl+f 查询 coinhive，公然找到了这 5 行恶意代码。百度和 google 了一下，发现这个是一个使用电脑或网站挖矿的站群程序，NND，居然黑到我的网站上面了! 所以问题点找到了，就是这 5 行恶意代码!

2. 铲除网站上的代码

恶意代码找到了，现在要铲除掉这几行代码，要先找到代码地点的具体位置。咱们知道，WP 页面是由 WP+主题组成的，那么这几行恶意代码是植入了 WP 体系档案仍是主题页面中呢? 做一个简略的测验测验就能知道。

然后随意启用后台的其他主题，如 2017 主题，然后回到前台，右键- 检查，再 CTRL+F，查询 coinhive，发现这些恶意代码还存在，这说明这几行代码的位置是在 WP 体系档案中，由于换了主题之后恶意代码仍然存在。那么现在把网站的悉数 WP 体系档案下载，直接用 duplicator 备份一切材料，可是点到第 3 步，发现 duplicator 居然无法进行了，WTF，居然阻止我备份。

好吧，只有用 linux 指令来备份了。翻开 XSHELL，衔接上网站地点的空间，进入体系根目录上一层目录，然后输入以下指令并回车 tar cvf in.tar public_html 就能够把整个 WP 体系档案紧缩为 in.tar 的档案，然后把 in.tar 拖到 public_html 中，再输入 www.xx.com/in.tar 回车，就能够下载了，下载到本地后，解压，看到很多体系档案，可是怎样知道这些代码是放在哪个档案里边呢?

不怕，这儿用到一个好东西 string finder，免费资源有下载，只需要挑选了资料夹途径和查询的关键词，就能找到包括这个关键词的一切档案。经过 1 分钟左右的查询，总算找到了 15 个被黑掉了体系档案，它们悉数在体系根目录下面，都是 php 的档案。找到这些档案然后一个个的点开检查，发现了一段代码，几个档案中的恶意代码都是如出一辙，echo ….. 。选中这些恶意代码，然后删去并储存。

3. 上传修正的体系档案替换掉被黑的档案
已然只有这 10 几个档案被黑，那只需要把这 10 几个替换掉即可，直接衔接 FTP，找到这些档案地点的网站根目录，然后全选上传，挑选掩盖即可。然后再改写下网站，并右键 – 检查能够看到这些 coinhive 的代码没有。然后再检查下后台的功用， media 里边的图片也能预览了，图片也能上传了，duplicator 也能备份了。网站康复正常!

4. 这个站群网站被黑的原因

网站康复正常今后，经过细心排查，发现黑客是经过暴力破解 FTP 的暗码进入空间，然后修正网站的体系档案的，虽然我的暗码设定的十分杂乱，可是这一次确实是 unlucky，居然被破解了。不过这种工作有时候也是没解，他人想黑你，你一点方法没有，只能防止。

5. 站群网站被黑的一些总结和教训

虽然是小概率事件 (这是第 2 次，第一次被黑是在 2013 年，当时被挂了黑链)，可是仍是值得总结下。