官方的就是安全的?

前段时间因为备案买了阿里云99 一年的 ecs,上面就部署了几个静态网站还有两个 docker 容器。想着闲着也是闲着,准备起个关于大姨妈知识的类似 wiki 的站点。

本来是想自己写前端页面,后台使用大姨妈的后台服务。思考了一下,app 系统的富文本编辑功能太弱了,不好维护文章于是转而直接使用 wp 部署。前面一切顺利,直接关闭评论之后,安装的插件也少了很多,主要是这个服务器的性能不足以运行太多插件。另外一个就是选择主题,随便搜索了一下,也没找到比较好看的主题,所以后来也是之计从 wp 的官方主题库安装的主题。

期间为了修改主题的函数文件,安装了一个 child theme generater。最开始添加了一些函数没有出现问题,然鹅,在发现子主题页面样式出现问题之后,切换到原主题页面样式却又正常了,初步怀疑是这个子主题出现了问题。

删除子主题,重新生成,页面样式依然是错误的。这就神奇了,打开插件管理页面直接报错了,是个看起来是 4043的错误页面:

这个 403 页面显示服务器系统是 tengine,这就很奇怪了,服务器用的 nginx 怎么会有其他的服务?

查看页面源代码:

直接就是 html 内容,也就是说这个文件被改掉了。至于是谁改的,这个就很奇怪了,期间并没有安装过其他的乱七八糟的插件。那么,唯一的可能就是官方下载的主题文件或者插件文件携带木马,在安装激活之后下载并且修改了一些系统文件。

早上登录阿里后台,发现一堆木马报警:

而这个时间点貌似自己在更改主题,以及进行相关的修改。而这些主题都是从 wp 官方下载的,也就是说这些官方的主题并不安全。引入的一切其他资源很可能是有问题的。

在定位文件之后,对相应的文件只能逐一进行删除,除此之外没有什么更简单的办法。

另外一个问题就是,阿里云的这个 99 的服务器性能只能说还是比较欠的,跑这点东西内存就直接跑满了。

现在看来这些恶意程序的传播已经不是单纯靠线下传播了,官网下载的插件或者主题也有可能被植入恶意代码,如果没有什么特殊的要求,还是少安装各种插件或者主题吧,最起码不要安装不知名的主题或者程序。

现在反观那个 403 错误,应该是恶意代码在下载对应的恶意文件时候被拒绝访问了,所以直接把 403 错误页当做恶意代码下载到了插件安装文件内,导致出现了 403 错误,嗯,就很棒。不然按照正常的逻辑应该是继续假装自己是插件管理页面,提供插件管理功能,并且同时运行恶意代码实现一些其他的非授权功能。

想学习大姨妈相关知识的,可以访问这个网址:https://wiki.guimiquan.cn

嗯,天干物燥,小心火烛!

☆版权☆

* 网站名称:obaby@mars
* 网址:https://h4ck.org.cn/
* 个性:https://oba.by/
* 本文标题: 《官方的就是安全的?》
* 本文链接:https://h4ck.org.cn/2024/03/15791
* 短链接:https://oba.by/?p=15791
* 转载文章请标明文章来源,原文标题以及原文链接。请遵从 《署名-非商业性使用-相同方式共享 2.5 中国大陆 (CC BY-NC-SA 2.5 CN) 》许可协议。


猜你喜欢:

39 comments

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      的确,这个结果却是是出乎意料,没想到官方下载的东西竟然是有问题的。

  1. Level 1
    Google Chrome 122 Google Chrome 122 Windows 10 Windows 10 cn福建省福州市 电信

    向官方举报一波,主题作者名和主题名写出来让大家避坑。
    太复杂的主题我都用不来,所以我都很少用别人主题,插件更是用的少,这几年为了追求速度才装了写缓存什么的插件,以前都没有。

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      昨天安装的东西太多了,不大好确定是哪个的问题。
      目前已经把无用的主题和插件全部卸载了。
      比较大的可能是主题文件导致,好几个主题要求安装第三方插件,但是这个插件来源不好确定,所以可能是测试主题的时候,提示安装插件,这时候引入的木马文件。
      遇到这种安装主题要安装第三方插件的主题要小心了,安装的插件可能并不是从 wp 官方下载的。

  2. Level 3
    Microsoft Edge 119 Microsoft Edge 119 Windows 10 Windows 10 us美国加利福利亚州洛杉矶

    好久来一个露脸全身照啊
    期待

      1. Level 3
        Microsoft Edge 119 Microsoft Edge 119 Windows 10 Windows 10 us美国加利福利亚州洛杉矶

        天荒地老,海枯石烂我也等

  3. Level 4
    Google Chrome 122 Google Chrome 122 Android 10 Android 10 cnAsia/Shanghai

    我就是在用这个服务器,是真的很一般。稍微重点的任务就拉垮

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      嗯嗯,是的,性能非常拉跨。稍微大点的东西直接就满负载了,尤其是内存,是在捉襟见肘啊。
      不过这也算是压榨ecs 性能了。哈哈哈

  4.  Level 4
    Google Chrome 121 Google Chrome 121 Android 10 Android 10 cn江苏省 移动/数据上网公共出口

    我博客也是放在这台服务器上面,还有一个网站搞了个采集内容,一采集整个服务器就卡😂

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      你这个更狠,竟然还跑采集器,内存爆了吧?
      bomb

      1.  Level 5
        Google Chrome 107 Google Chrome 107 Android 14 Android 14 cn北京市 移动

        谢谢女王大人的链接。如果你要是下载主题,我建议你就选那几家常发主题的机构,别下载个人的主题。然后也不用他们的插件,我用的主题几乎就两三家发不商,审美在线,然后安全有保障,那种个人发布的,bug特别多,确实也不安全。当然也有牛批的个人开发者,我也用过那种开发出来好几十个主题的作者,给这种点个赞。

        1. 公主 Queen 
          Google Chrome 120 Google Chrome 120 Android 10 Android 10 cn山东省青岛市 联通

          就是怕这个 所以从wp的在线主题直接安装的,都没躲过去。我也是服了 big_boss

    1. 公主 Queen 
      Google Chrome 120 Google Chrome 120 Windows 10 Windows 10 cn山东省青岛市 联通

      关键是最开始都没想到能出现这种问题,有点离谱了

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      是啊,这种问题都能出现。
      不过 wp 的审核插件首次上架的时候会进行 code review,要求代码不能混淆加密,还是挺严格的,后续就不知道了。
      之前想把改的插件发布,了解了一下。

      1.  Level 4
        IBrowse r IBrowse r Android 12 Android 12 cn河南省漯河市 联通

        即便是官方安全也不行,几年前我的网站底部用了自己改的状态栏播放器,突然有一天被主机商警告不安全,但我一直查不出来原因。直到一次我用百度搜索我的域名查看收录详情,才发现一个有色网站偷了我的状态栏播放器代码进行远程调用,果断把播放器停了。

        1. 公主 Queen 
          Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

          这~~但是这个没办法,不在自己的控制范围之内。
          这种不会影响自己的安全性,不过是域名受影响。

  5.  Level 4
    Firefox 123 Firefox 123 Windows 10 Windows 10 cnAsia/Shanghai

    阿里其实我是很不相信,从最开始用阿里到后来启用腾讯,原因就是阿里服务器总是爆各种问题,阿里有各种付费的方案,无数次我在怀疑是不是阿里放水,故意的,然后让我去买他们的各种付费产品,刚开始各种短信邮件通知真的烦人,后来实在扛不住手机用了停掉的,邮箱也随便注册个用着。

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      这个倒是不见得是阿里的问题。最近阿里也是各种电话推销服务,不过我都给拒了。

    1. 公主 Queen 
      Google Chrome 118 Google Chrome 118 Mac OS X 10.15 Mac OS X 10.15 cn山东省青岛市 联通

      嗯嗯,这也是我的感觉,有人说慢,但是我一直也没觉得有多么拉跨啊。

  6. Level 4
    Safari 17 Safari 17 iPhone iOS 17.4 iPhone iOS 17.4 cnAsia/Shanghai

    wp官网的主题只有第一次上传审核严格,后面更新都直接通过,如果有人刻意为之,难免的

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注