突然间,所有类型的Wordpress网站都在header.php和index.php文件中显示非常奇怪的代码。它跨越几个服务器,所以看起来有人真的得到了我所有的服务器细节。
插入标题中的代码如下所示:
这可能是什么?关于如何摆脱这个问题的任何提示(我在这里谈论50个网站..)
我尝试在所有类型的解码器中解码代码,但没有解决任何问题。
答案 0 :(得分:2)
听起来像是黑客。我不认为你是第一个,因为wordpress.org上有一个关于这个问题的主题:https://wordpress.org/support/topic/headerphp-hacked-need-advice-have-tried-everything
答案 1 :(得分:1)
你被黑客攻击的可能性非常大。但有趣的部分应该是检查他们是如何进入系统的。我想到的第一件事就是看到所有代码都使用了无效的主题和插件。通常,人们可能会安装来自未知来源的插件,这些插件可能会被某些用户更改,这是合理的。所以你可能没有被黑客攻击,这本来很烦人。
尝试复制红色部分(字符串)并使用php的base64_decode函数对其进行解码,90%的黑客使用base64_decode和eval函数来混淆代码。大多数情况下,这个混淆的代码用于添加一个表单字段,然后他们可以上传一个直接执行的文件。
唯一的解决方案是更改密码,找到负责的代码并将其从您的整个站点中删除(尝试多个文件搜索和替换)。安装一个好的防火墙,我喜欢wordfence。如果可能,请使用第二级验证,例如短信或Google帐户。不要安装空的主题和插件。
答案 2 :(得分:1)
这绝对是黑客攻击。我每天都在处理这类问题。
Omer Farooq的正确之处在于使用Nulled主题/插件将导致您网站上的后门 - 尤其是CryptoPHP后门。
任何加密的内容都应该被不信任并进一步调查。您可能无法始终解密它,因为黑客有时会使用多层加密来混淆其代码。这是为了愚弄安全插件' (注意''因为我还没有找到一个实际可行的),因为他们倾向于扫描代码签名。因此很容易被愚弄。
解决方案:
下载Wordpress的干净副本并将其解压缩到一个文件夹。现在,将该文件夹与您网站主目录的内容并排查看。你可能会发现一个或两个以wp_开头的文件不应该存在。查看代码 - 如果已加密,请将其删除。 还要检查所有文件和文件夹上的时间戳,因为它可以让您了解更改的内容。
当其他一切都失败时,请联系我寻求帮助。
答案 3 :(得分:0)
大多数Wordpress黑客利用过时的插件。你应该总是更新它们。不幸的是,Wordpress对于这种类型的黑客行为是众所周知的。
只有一次,我遇到托管服务提供商服务器遭到入侵的问题。这真的很奇怪。
如果我在你的鞋子里,我愿意,
此外,我会在虚拟机(本地)中设置受感染的网站,并了解您是如何受到攻击的(可选)