记安装 WordPress 时遇到的罕见情形。
第一次发生在 3 月 11 日。安装完 WP 后我登录不上去,中途出现数据库已存在提示,以为自己输错了,直接重新安装了下。
第二次发生在 3 月 21 日。事出反常必有妖,这引起了我的注意,检查发现数据库中多出了不是我设置的管理员账号。
如果是 WP 的 bug,我可以反馈下,于是开始了漫长的排查和实验,不同的主机,不同的网络,不同的浏览器,不同的部署方法,分别用于排查环境、WP 源文件、浏览器,都无法次次复现。
由于上述变量有问题的概率都很小,我想或许黑客只针对了新域名来降低被发现的可能 。(这种 clark 很常见,比如恶意跳转只针对部分谷歌搜索来的某种语言的访客)还好之前囤积了很多域名未使用可以用来做这些实验,经过多次实验后终于复现了二次,我怀疑起了 11 号到 21 号间安装的网银控件 和 浏览器扩展,立马开启了防火墙,截至到写这篇文章为止,都没敢再用 Chrome 浏览器登录过几次。
第三次发生在今天下午 3 点 20 分。客户刚注册完域名,安装时提示 wp-config.php 已存在,打开一看里边填入了个 IP 在 DigitalOcean 的远程数据库。
在给 DO 报告滥用时,写着写着想感觉这种情况似曾相识,打开访问日志一看,果然有不同的 IP 在访问 WP 的安装界面。(这种小黄鸭调试法也常遇到——自己描述问题时突然想到了解决方法)
至此,原因找到:在你注册完域名/下发完证书后,黑客会不间断的对站点进行扫描和提交,在安装过程中,他们利用你填写的那段时间差,抢先提交数据库或者管理员信息,以获得站点的控制权,就像尾随一样,比瞎猫碰见的概率大。
如果没有深挖和留意也是挺难发现的,这大概算我常年安装 N 多 WP 的大数据吧🤣
防范方法就是安装完成前让站点只能你自己访问。
出现类似这种已安装,数据库已存在的提示时一定要注意。
