我的wordpress网站遭到黑客入侵。通过这个计划:
http://sitecheck.sucuri.net/(...)
我发现它涉及2个文件(现在),它是。 js文件。
... DK /可湿性粉剂包含/ JS / l10n.js? ver = 20101110 .... dk / wp-includes / js / jquery / jquery.js? ver = 1.6.1
它是某种特洛伊木马(Cruzer B)。插入(由攻击者)代码在两个文件中都很明显(通过记事本看到)
其中一个文件的原始代码如下所示:
function convertEntities(b){var d,a,d = function(c){if(/& [^;] +; / .test(c)){var f = document.createElement(“div”) ); F。 innerHTML = c;返回! f.firstChild? c:f.firstChild.nodeValue} return c}; if(typeof b ===“string”){return d(b)} else {if(typeof b ===“object”){for(a in b){if(typeof b [a] ===“ string“){b [a] = d(b [a])}}}} return b};是
我可以手动删除两者中被黑客入侵的代码并期望该网站再次运行,还是会销毁更多内容?
答案 0 :(得分:2)
下载Wordpress的新副本(确保获得相同版本),解压缩并查看文件是否存在。
如果是,请将安装中的文件替换为原件。
如果不是,您应该可以删除它们。
答案 1 :(得分:0)
我最近清理了一个网站,该网站使用了由不安全的脚本timthumb.php引起的相同漏洞利用
首先确保将timthumb替换为updated version。如果您已经替换了所有WordPress文件,则需要确保您的主题文件都是干净的(即使是未激活的主题)。
我还发现shell脚本隐藏在servers / tmp目录和wp-config.php中,您可能没有替换它们。在wp-config.php中,恶意代码在3000个空白行后被隐藏,因此请确保您确实位于要检查的任何文件的末尾。