许久没看博客，想着应该处理下评论，登录进后台点击“未审核”，就立刻被跳转到了一个奇怪的链接。


从“steal”“cookie”就不难看出，这把我的登录Cookie发送到了这个奇怪的IP地址里。接下来某人就可以通过这个Cookie登录我的后台了，不过还是阻止他最好。
复现了一下，只有点击“未审核”时才会被跳转，看来这个XSS注入肯定在某个未审核评论里。但未审核评论肯定不能随便全部扬了啊，于是我们打开phpMyAdmin管理博客的MySQL数据库，执行以下命令筛选有没有写了脚本“script”或者有特殊符号的评论。

DELETE FROM `typecho_comments` 
WHERE `text` LIKE '%<script%'

DELETE FROM `typecho_comments` 
WHERE `text` REGEXP '<[^>]+>';;

很遗憾，没有。看来这人没直接用script注入。会不会是篡改了插件设置或者博客源码？在博客根目录下执行

grep -rn "154.21.***.213" 

一无所获。还是得在数据库里搜索。

直接在MySQL里搜索这个IP地址，找到了。删除他们，正好也看到这人用的是“"onfocus="location.href”办法来重定向。现在就把类似的评论全删了。不过我这里先把跳转的链接置空看看。

UPDATE `typecho_comments` 
SET `url` = '' 
WHERE `url` LIKE '%location.href%';

找到两条。回到Typecho后台，未审核评论可以正常打开了，刚刚被替换掉的应该就是这两条评论。

很狡猾，应该是看了文章内容再手动下的评论，和文章强关联。这下要加强防护了。
以及，记得改掉Typecho的管理员密码。