0635 WLW更新时,发现WP无法登录:Wordpress 的用户名被人更改为g
0638 使用邮箱找回密码,说什么key不对“抱歉,该 key 似乎无效。”
0643 之前绑定过新浪微博,可以籍此登录,发现所有用户包括订阅者用户名都变成了g,可修改管理者密码。借此良机,正好改了个强密码AdNaSiNo。我一直觉得,我的博客是个与世无争的日记站,所以一直懒地改密码,而原密码,在天涯密码泄露事件中早暴露了,这我是知道的。泄露的两个密码,一个纯数字无所谓的,一个就是较复杂的这个,因为许多地方都用这个,改地麻烦就没待一一去改,只是出了事故才补救,比如新浪微博被盗发微博、百度知道被乱发内容。真不知道我每天是在搞什么!
0651 无法更改管理员用户名,且先更新了Ydlog
0659 但愿攻击者没删改博客文章,这是我几年的心血,如果毁于一旦,对我打击太大了——不过好像备份能还原,但得麻烦折腾。
- 内容:1,573 文章,3 页面,23 分类目录,1,018 标签
- 讨论:1,416 评论,1,416 获准,0 待审,0 垃圾评论
0712 书法吧Update149楼:wordpress 被人修改用户名及密码,致使更新延迟,且未能外出
0718 登录登录主机后台:Google到IP 106.187.55.235:2082
0741 通过后台,修改wp_users中的ID为GateNo,user_login为No.38,user_nicename没改因为一文说那与固定链接相关,我想改了会影响SEO;注册日期仍2011.1;user_activation_key 这是唯独管理员账户才不空,我怀疑这就是“该 key 似乎无效”的原因。
0749 我想我猜对了,再次找回密码,依旧“抱歉,该 key 似乎无效”。
0756 微博:#wordpress# xuexx.com 被人把所有的一千多个用户名全部修改为g,管理员密码也被修改,找回密码不能用,说“抱歉,该 key 似乎无效。”,我真好奇,我这么个隐居在村、自以为与世无争的精神病人写病历的博客都有人有兴趣、有兴致这么耍、这地玩儿我?希望他兴致不是太高,没修改了内容。
0837 早饭河馍馍后。
0848 进入WP后台,仪表盘竟然只有个人资料栏目
0902 想通过修改数据库修复,但看地头晕;把ID返回正常。
0916 去选择“任何人都可以注册” ,那么多SPAM注册,删都费劲,damn it!
0925 按网上教程,把邮箱中密码重设链接,去掉前“<”后“>”,然后打开就可以重置密码了。而这个key,就是数据库中明文的user_activation_key,这让我感到不安全,因为只要知道这个key,就可以随时修改密码,用诸如http://www.xuexx.com/wp-login.php?action=rp&key=kljaskdjfafewrejwioefjwioefjwiofjs&login=fkdiekds的地址
0933 找回密码时,当使用错误用户名或电邮,提示“错误:用户名或电子邮件地址无效。”
0940 通过ww.xuexx.com/wp-login.php?action=lostpassword测试user_activation_key的功效
0943 大发现,即便删除了数据表中已生成的user_activation_key,再次找回密码,新生成的key也是原来的,即意味者,只要破解者知道了你的key,他将可以一直修改你的密码。
0955 知乎提问:
WordPress找回密码的user_activation_key是不变的?
只要破解者知道了一次,就一直能够修改密码?
http://www.zhihu.com/question/21616697今天用WLW更新WP才发现,我博客所有用户名全被改成了g。
慢慢调理之中,发现一个奇怪的问题,WP找回密码的链接是诸如xuexx.com/wp-login.php?action=rp&key=…&login=… 的东西,省略的这个key,在每次发来都是一样的,即便把数据库中user_activation_key内容删除,再发来的也是同样的。这让我感到不安全,如果破解者知道了这个key,岂不是无论自己如何改密码,它只要有这个key和用户名就能再次修改密码?
ps. 居然到2013-09-10 09:41:02问题被浏览 1 次,OMG,我都看了不下3次了。
后记
这是我博客第一次被攻击,实在让我难以理解,什么样的人会对我这么一个站感兴趣?
我博客大多是写日记,偶尔地批评些东西,比如祁县榆林卖赃车、Adsense滑稽的成人内容判定规则、某些村长的恶行;曾经我关注过网络谣言,但那是很久前的事了;如今我对政治东西也毫无兴趣,看新闻也更多地关注科技方面。我就不知这碍着谁的事?
或许攻击者只是想提醒我该改密码了?我就姑且这么想吧,毕竟现在我的生活还是挺舒服的。
2013-09-09 16:45:06 XUEXX.COM IPO
