Wordpress被黑客攻击包括反向链接

时间:2012-06-06 15:53:02

标签: javascript php wordpress eval

症状:

  • 在起始页上插入不同购物网站的一些奇怪链接
  • mydomain.com/page_name=XYZ&id=123重定向到不同的购物网站(通过评论提示)

已经尝试过:

  • 发现PHP Entry eval(base64_decode('ICRmZl9vdXRsaW5rX2ZpbGVf ...在footer.php中,它负责一些奇怪的链接注入 - >删除了
  • 文件&数据库搜索“eval”,“page_name”和其他可疑关键字 - >没找到明显错误的东西

但是必须有更多的后座

带有page_name和id VARS(症状)组合的提示是由匿名评论引起的(奇怪吗?)

有人遇到同样的问题或知道解决方案吗?

2 个答案:

答案 0 :(得分:2)

这很奇怪!我建议通过shell搜索带有大型哈希字符串的文件:

find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]\{400\}'

这会给你一个清单。在我的情况下,在我的根文件夹中有一个文件include.class.php,它位于后门的大部分内容中。更多文件(带有加密名称)位于我的wp-includes /文件夹中。他们似乎负责后门文件的创建。删除后门文件和加密!

玩得开心:)

答案 1 :(得分:0)

检查Wordpress Codex: Help I think I've been hacked。这是你会发现的最佳建议。

相关问题
最新问题