在更新了我的所有插件、进行了有效的安全备份并清除了我所有的垃圾邮件并且没有未经授权的用户之后,我的 WordPress 网站再次被黑客入侵。我的 HP 主徽标下显示了一个垃圾邮件 URL。关于如何解决这个问题的任何建议?在编辑器中查看 .php 文件后,我注意到我的“Theme functions.php”文件中的这段代码(粘贴在下面)。这是垃圾邮件还是正常的?不幸的是,我不会编码,也不知道要寻找什么!
<?php
$wp_function_initialize = create_function('$a',strrev(';)a$(lave'));
$wp_function_initialize(strrev(';))"=owOp
[hacking code removed]
'g42bpR3YuVnZ"(edoced_46esab(lave'));?><?php
/*** Theme setup ***/
【问题讨论】:
首先。关注this guide
但是,以下内容对我有用:
当您最初被黑客入侵时;对核心 WordPress 文件进行了更改,如果每次加载页面时该行都不存在,则会将该行添加到 functions.php 文件中。
我的建议是重新安装 WordPress,方法是转到 /wp-admin/update-core.php 并点击 Re-install Now
该问题也可能存在于您的任何一个活动插件中。重新安装它们。
【讨论】:
是的 - 你被黑了,这个被剪断的代码似乎是黑客插入的“坏代码”。你使用 MailPoet/wysija-Newsletters 吗?这个插件上个月被黑了两次。
分析代码需要几个小时,所以很难说它到底做了什么,但很明显这并不是什么好事,因为作者试图很好地“隐藏”真实代码;)这不是 Wordpress 本身所做的回答这个问题:这是不正常的,很可能不仅仅是垃圾邮件。
因此,您需要确保清除所有受感染的文件。由于代码在您的主题中,因此重新安装 WP 将无济于事(我猜您不使用默认主题)。
如果插入的代码分布在许多 .php 文件中并且它们是相等的,您可以使用一个小的 Python 脚本来检查所有 .php 文件中代码的出现。否则,完全删除它会变得有点困难。
【讨论】:
代码的 strrev(';)a$(lave')) 部分反转文本以隐藏它。你会注意到 "a$(lave" 反转为 "eval($a"。
在您网站上的每个文件中搜索“eval(”和“(lave”。
有效代码很少使用the eval function。它很容易被滥用,以至于在 Wordpress 和其他编写良好的 PHP 脚本中避免使用它。
如果您在 strrev 函数中看到“lave”,那么您可以很确定这是恶意代码。
我只是以与您描述的非常相似的方式被黑客入侵。我在搜索更多信息时发现了你的问题,我可以将我学到的东西传递出去。
为了修复这个特殊问题:
为了以后更容易做到这一点,请始终将您网站的完整副本保存在您的个人计算机上。我使用a tool called Beyond Compare,它将显示我网站上的文件与我的计算机上的文件之间存在差异的所有文件。它还将显示每个单独文件中的差异。这使得比较和修复被黑客入侵的文件变得容易。我实际上使用 Beyond Compare 作为我的 FTP 工具来将我的非 WordPress 更改上传到我的网站。
这是我的 WordPress 网站多年来第一次被黑客入侵。我的经验和希望是,这可能是一次性的事情,在我回到预先破解的代码后会得到修复。一般来说,WordPress 会保持其代码干净并修复漏洞,这样旧的黑客攻击就不会再次发生。但是你可能有插件或主题,黑客已经进入并且将来可以再次进入。值得尝试研究利用的方法并修复后门以防止它。我不确定进行这项研究的最佳方法,但我发现这个问题是我研究的一部分。
我希望这些想法对您或与我们有相同问题的任何其他路人有所帮助。
【讨论】: