有沒有試過在Google嘗試搜尋一些資料,打開一些連結會無端跳到一些完全不相關的網站?
基本上有這個情況的,大部份都是已經被入侵的WordPress,而且植入的惡意軟體非常聰明,只會隨機性進行跳轉,令網站的管理員也未必很容易察覺到(因為是隨機,所以類似sucuri 的網上掃描服務也不一定抓到有問題)。以下的分享是最近比較流行的「被跳轉」手法。
客戶反應網站最近會隨機跳轉到旅遊網站。比對WordPress插件安裝時間,發現只有插件「WP Code Lite」安裝時間跟其他插件不一樣,其他都是幾年前。但神奇的是,在WordPress後台沒有看到這個插件。
有搜尋過一些社群解答,嘗試在WordPress後台連結結尾加入 ?wpcode-safe-mode=1 啟用安全模式,WP Code Lite 回來了。
從WPCode Lite設定看到,「被跳轉」的程式碼被埋進WPCode 設定裡面,而且還包含把WPCode 本身自己隱藏的程式碼
如果遇到以上情況,你應該
- 先刪除WPCode 內的惡意程式碼
- 如果本身沒有使用WPCode,可以年WPCode本身也刪除
- 把所有WordPress具管理員權限的帳號都更改一次密碼
- 更新WordPress以及其主題/插件
- 如果是科比主機的客戶,當然可以聯絡我們尋求協助
題外話:為甚麼是旅遊網站?
如果有留意上圖,應該會發現連結有一個聯盟行銷的ID,這個ID很有可能已經儲存到瀏覽器COOKIE。你不一定需要當下在那個網站購買甚麼,只要在特定時間內(也許是30天內),透過這個旅遊網站有任何購買行為,黑客的聯盟行銷帳號也會得到分潤。如果想了解更多這個話題,可以看一下這位Youtuber 的調查報道。
