中文WordPress Planet竟然被hack
多谢Tangos提醒,中文WordPress Planet竟然被hack了。很多帖子被改了内容,hacker留下的“到此一游”:
This site hacked by Al Jizany
W-z
Crystal-hacker
Sorry admin This is my Life
Just Proving Nothing els
现在已经恢复,就是最近的几个留言丢失了。干嘛玩到这儿呀!
不知道它是怎么hack的,漏洞?某个密码被解?中文WordPress Planet还是1.5版本,马上升级到1.5.1.2
关键词: WordPress
有没有server log,可以寄给我一份看看吗?我觉得仅仅利用php和数据库的漏洞是比较难进去修改文章内容的,不过应该调查一下预防万一。。。
我遇到过:awstats也有类似漏洞: hacker通过GOOGLE自动查找所有包含漏洞的旧版本服务器,然后自动发送攻击脚本。过一段时间:甚至还能从GOOGLE的搜索中看到战利品。
可以设置robots,主要目录拒绝bots的访问
是啊。前几天看自己blog的访问日志,突然发现一堆的url攻击,全是寻找数据库漏洞的。幸好没发现有什么漏洞给他。这年头无聊的人真多,网上down个攻击工具就开始做实验。
dotann, 下载下来的Log就是过去一天的,但hack发生在9号以前。
现在我在cpanel里设置Archive Logs了,这是个好习惯。:)
可能是利用1.5.1.2之前的那个注入漏洞进去的吧,很容易。
看来跟着WP的脚步升级的确没错………
cnBlog.org都程序错误了…..不知道这两事有没有关联?
WordPress 1.5.1.3 Available
从官方日志看还是安全性得修补,并提到将会有新的features。推荐用户尽快升级,不至于被黑。
…