前几天,忙着搬家,一直没有更新博客,搬家完成后,却发现其中的一个博客被黑客攻击了……
黑客在博客的根目录下面增加了一个index.html的文件,使其取代了原本的主页,好在没有其他的过分的动作,日志页面都可以完美的访问……当然需要绕过主页才行。
开始没觉得什么,但是访问后台的时候却发现了比较严重的问题,提示管理员帐号的密码错误,而点击忘记密码之后,邮箱里却没有收到新密码的邮件。
太恐怖了,管理员密码丢失,连邮箱地址也被更改了……
搞了好久,没有搞出所以然来,只好借助于Google,最后选择了一个最为稳妥的方法:通过修改数据库重置密码。
登录phpMyAdmin后台, 选择wordpress所在的数据库,单击wp_users选项,选择右侧上端的浏览选项-编辑user_login进入编辑页面,user_pass后的值就是密码,将密码修改为:”5d41402abc4b2a76b9719d911017c592″,然后回到WordPress登陆页面,使用密码”hello” 登陆即可。(当然,你改成别的密码也可以,我只是不知道如何把前面那串代码跟字母或者数字互译,有懂的童鞋可以教教我哦)
另外,还有三种方法可以重置密码,不过没有试验过:
方法一: 使用 password-resetter插件
用法:1、将password-resetter.zip解压;
2、上传password-resetter.php到WordPress根目录(注意:这不是WordPress插件!)
3、运行http://yousite/password-resetter.php
4、在Set admin password:后面输入你要重置的管理员密码!然后点提交查询内容就可以了
5. 记得删除服务器上的password-resetter.php (不然会被他人利用)
方法二:手动更改密码
新建一个pwd.php文件,加入 echo md5(‘你的密码’);
上传到主机根目录下,执行http://你的域名/pwd.php,然后连到你的数据库执行
update wp_users set user_pass=’执行pwd.php显示的字符串’ where user_login=’admin’;
OK,现在可以用自己设定的密码进入管理员帐户了。
方法三:
当忘记密码后,只要把下面代码拷到主题的index.php刷新即可
<?php
$user = get_userdatabylogin(‘admin’);//忘记密码了,总记得用户名吧
wp_set_password(‘1′,$user->ID); //然后就用用户名admin,密码1登录就可以了,登录就可以了 ?>
不得不承认太牛了,那个黑客。我说的是张图片~
居然 被攻击 是wp 那个版本啊 ?
牛人真多!怎么连私人WP都要盗?
@随影 我用的是2.8.5
@hfantasy 图片有什么牛的呀?
@植树 估计也就是拿我的博客练手吧……
Wp的密码存储是使用MD5加密的,所以,在忘记密码后,去数据库直接拿一个用MD5算过的密码即可。
网上随便都能找到MD5加密工具。
你的那个hello和那串字符对应关系就是后者是前者的MD5值。MD5算法目前不可逆。也就是说,拿到MD5值,一般算不出来明文的密码。
what?
MD5是不可以互译的,只能从未加密的转换到MD5上去,不能转换回来
我晕,看图片时一把枪正好指着自己的脑袋
找到是哪里的漏洞导致被攻击了的吗?
这个黑客这么强阿!
博客安全是第一生命线,要注意平时的安全工作!!!!