事情经过
4月2号被人XSS评论植入木马,改了首页后台。
4月4日才发现,直接一键还原,查了下原来是typecho1.2.0有BUG,大家尽快更新到1.2.1版本。
Typecho-1.2.1 官方下载地址: https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
木马结构分析
官方文档:https://github.com/typecho/typecho/issues/1545
对方可以在你评论区 评论内容+输入网站选项时植入XSS木马,并在404.php写入木马
从而获取你的cookie值,对方直接登入你的后台
解决办法
把Typecho升级到1.2.1版本(官方已经解决了这个问题)
如果你已经被植入过XSS了,那你应该检查一下你的数据库了
如果是宝塔用户,那么宝塔有一个数据库每天都自动备份的功能,如果你开了,那就删除当天被植入过的数据库,恢复前一天的数据库,
对方登入你的后台后,点击外观→编辑当前外观,对方也是可以修改你主题文件源代码的,因为你也不知道对方到底改了哪里,所以最好是导入新的主题文件使用
宝塔安装日志清理工具,扫描 全选 清理所有垃圾,
这样一套操作下来基本无后顾之忧了
本文共 312 个字数,平均阅读时长 ≈ 1分钟
1.2.1-RC版本仍有漏洞,详见我的这条issue:https://github.com/typecho/typecho/issues/1560
可以临时这么修复:https://github.com/FaithPatrick/typecho/commit/d9f666f9afd951b86e523a06dbcbbb60b14444a0
或者暂时关掉评论功能。
感谢袋老兄!