记得前些日子，我在Blog评论里发现有人说我的Blog站点被黑：

"YOUR SITE HAS BEEN HACKED – THERE ARE PARASITE PAGES IN http://tonybai.com/dl SECURE YOUR SITE!!!"

粗浅检查了一番，没有发现什么异常，也就没把这事当回事儿。

昨天上Gmail(由于需要搭梯子，不经常登录)，发现一位网友发来mail说我的站点被入侵了，还附上了google search结果的截图：

接着我也发现了google webmaster发来的mail，同样是警告我的博客站点被黑，并给出了两个可疑URL：

http://tonybai.com/dl

http://tonybai.com/dl/call-of-duty-4-modern-warfare-crack-download-tpb.html

我自己访问了一下上述URL，我靠！果然被黑了。

以前blog站点无论是搭建在dreamhost上还是朋友的主机上时都未出现过被黑的情况，这次在DO上居然被黑，之前没有解决类似问题的经验，这次只能从头摸索。

看了几篇解决wordpress被黑问题的文章，都推荐先安装几个安全插件对site进行扫描，于是我就试了两个：iThemes Security和Wordfence Security。前者似乎有问题，安装后，dashboard页一片空白。Wordfence Security还好，只是每次scan都无法finish，也就无法得到到底哪些wordpress文件被感染的结果。

插件不可靠，只能自己“手工”解决了。

首先到server上利用find , ls等命令对比时间，发现是否有哪些文件的最近访问时间戳与其他文件有差异。不过search了半天，也没发现半点痕迹。

网上还推荐用文件比对工具，比对现在的wordpress文件与backup的文件异同。多亏有backup插件的备份包，于是下载了20150326和20150409的backup zip，使用beyond compare进行目录比对。不比不知道，一比吓一跳啊：index.php文件时间戳相同，但内容居然不同。

0409中的index.php的头部居然多了一段代码：

<?php $V3a3xH8="JQAgHfEmQKV+JuR5Y38ZdWofSxp4PSPn00uzTC

….

….

($CdFxbnu0g($nGXNegRe($dvXZv9($cDjofDA))));?>

显然这就是入侵代码了。删除这段代码，重启apache2，试试再访问以下上述那两个URL。结果是令人悲伤的，页面居然还能正常打开和显示。我第一时间想到的是浏览器和apache2的缓存。

强制刷新brower，无用。

查找apache2关于Cache的配置，发现一个：/etc/apache2/mods-available/cache_disk.conf

其内容：
<IfModule mod_cache_disk.c>

        # cache cleaning is done by htcacheclean, which can be configured in
        # /etc/default/apache2
        #
        # For further information, see the comments in that file,
        # /usr/share/doc/apache2/README.Debian, and the htcacheclean(8)
        # man page.

        # This path must be the same as the one in /etc/default/apache2
        CacheRoot /var/cache/apache2/mod_cache_disk

        # This will also cache local documents. It usually makes more sense to
        # put this into the configuration for just one virtual host.
        #CacheEnable disk /

    # The result of CacheDirLevels * CacheDirLength must not be higher than
    # 20. Moreover, pay attention on file system limits. Some file systems
    # do not support more than a certain number of inodes and
    # subdirectories (e.g. 32000 for ext3)
    CacheDirLevels 2
    CacheDirLength 1

</IfModule>

查看CacheRoot，发现/var/cache/apache2/mod_cache_disk下是空的。显然并未缓存。

难道还有其他位置为hacked了？难道0326的backup也是被hack过的？

于是我翻箱倒柜，在电脑里发现了20150101的backup，用这个Backup和0409又对比了一次，这回发现了另外一个被hack的文件：.htaccess。

.htaccess中多了这么一行代码：
RewriteRule ^dl/(.*)$ wp-add.php [L]

原来入侵的人或程序总共在我的主机上做了多处修改，这里总结一下：

1、.htaccess中增加一行规则
2、添加wp-add.php
3、修改了index.php
4、修改了wp-includes/theme-compat/header.php
5、修改了wp-content/themes/xx/header.php和footer.php

我ls了一下0409下的文件：

-rw-r–r–    1 tony  staff      4343 11 28 04:01 wp-activate.php
-rw-r–r–    1 tony  staff      1991 11 28 04:01 wp-add.php
drwxr-xr-x   89 tony  staff      3026  4  9 11:00 wp-admin/
-rw-r–r–    1 tony  staff     40243 11 28 04:01 wp-app.php

可以看出入侵代码在添加文件之后，对文件时间做了调整，让简单的时间戳对比无法揪出这个罪魁。

去除以上入侵代码后，上述可以网址就无法访问了。

在google webmaster提交request，期望google 早日将搜索结果中的"此网站可能遭到黑客入侵"标签去掉。

之后将密码修改了一遍，希望后续能免疫。

后记：
根据朋友建议，将blog的文件用git管理起来，并push到bitbucket的private repository中，这样一旦再被hack，恢复起来也较为方便。
步骤如下：
1、在/var/www目录下git init
2、git add ./
3、git commit -m”initial import” ./
4、git remote add origin https://user@bitbucket.org/user/blog.git
5、git push origin master

早在若干年前就有朋友建议我搭建一个独立博客，可当时的我觉得blogbus提供的服务很不错，自己没有必要去折腾，费钱又费力，所以我选择了继续留在blogbus。

这两年blogbus服务一直在不断的提高，自己也一直很欣赏blogbus的简单、清新、无广告的风格，大巴后台管理中心的功能也变得越来越强大了。不过这期间blogbus也出现过几次较为严重的故障，导致长时间的无法提供服务。上周blogbus再次出现文件服务器故障，导致上传的图片不能正常显示。这次我做了另外一个选择：尝试搬家。之所以称为“尝试搬家”，是因为搬家可能成功，也可能失败。

上周末经朋友推荐，我购买了dreamhost的主机空间，注册了独立域名，并花了周末两天的时间搭起了一个wordpress博客，这个过程是一波三折，还好我的这位朋友是建站方面的高手，经他指点，我少走了许多弯路。但博客搬家最难的地方不是建站，而是后续数据的迁移和整理。

搬家过程大致如下：

1、创建mysql数据库；

2、安装wordpress；

3、从blogbus后台管理中心将数据导出，导出一个blogbus自定义格式的xml文件;

4、下载bus2wp.py；

5、按照bus2wp.py的说明，执行bus2wp.py将blogbus自定义格式的xml文件转换成wordpress标准xml文件;

6、转换后的wordpress数据文件有4M多，我用DivXml将该文件拆分成四个1M左右的xml文件；

7、通过wordpress后台提供的导入功能将数据文件导入

这里我安装的wordpress是2.8.6中文版（据说高版本的wordpress再导入bus2wp.py转换后的数据时会出现各种各样的问题）。导入过程很顺利，导入的大部分数据的格式都还是可接受的。

8、选择wordpress themes

2.8.6版本wordpress默认的Kubrick主题我一眼就看中了，不过该主题页面宽度不足，看起来很别扭，遂自己查资料，终于找到了一个Wide版的Kubrick的主题，下载后，替换了默认的主题。

9、安装必要插件

wordpress做得很强大，插件很多，根据朋友和网上推荐安装了Akismet、Add Post URL、Google XML Sitemaps、WP-Syntax和WordPress Database Backup等这几个插件。虽说安装过程都很简单，但是每个插件都要配置和测试，还是耗费了我不少精力。

10、整理文章

这是最痛苦的事。wordpress自带的默认编辑器很不给力，在“可视化编辑器”和“HTML编辑器”之间切换居然还会导致格式变化，导致刚整理好的格式瞬间丢失，还得重来，很痛苦。另外我还是一个追求完美的人，我最初计划将搬来的600多篇博客文章都整理一遍，修改每篇文章的永久链接地址、重新分配标签、更改文章内容中的所有链接（指向新博客站点中的文章），可昨天刚整理了三篇文章，我就发现这几乎是一个不可能完成的任务，我目前确实没有精力折腾这些事儿。

到此为止，我开始反思：我真的需要这样一个独立博客吗？独立博客有诸多好处，这个不用我说。但是这些好处中哪些是我真正需要的呢？顶级域名和稳定服务也许是我更看重的。但是国外提供的虚拟主机空间就一定比大巴稳定么？这个用过才知道，我还没有发言权。至于顶级域名其实blogbus也可以做绑定。

整理数据的这几天耗费了我很多精力，很多事情都因此耽搁了。我决定不再整理了，本次尝试搬家宣告失败！继续遵循多年前的那个选择：只要blogbus还继续提供服务，我就一直扎根这里。