Php 如何跟踪从呈现的HTML加载特定行的文件

我在Wordpress上建立了一个网站，最近我们发现它被几个恶意软件脚本感染，这些脚本使用常见的base64和eval函数插入脚本，如下所示：

我们能够解决大多数受感染的文件，但仍有一些脚本被注入index.html，如下所示：

所有这些用红色标记的脚本都会向立即触发我的计算机防病毒的站点发出请求

---

所以这里的问题是，我如何跟踪哪些文件加载了这些行？我怎么知道哪个文件会打印它们呢？我不能只搜索字符串，因为代码像第一张图片一样经过加密…

事实是，它可能不止一个文件，而且/或者它将隐藏在插件/上传文件夹的深处

这会有点费时，但在修复被黑客攻击的网站时，我通常会遵循以下步骤来缩小范围，并确保我把所有的垃圾都处理掉：

1） 在执行任何其他操作之前，请确保已备份文件和数据库。这样，如果你不小心删除了一些东西，很容易恢复

2） 删除所有未使用的主题或插件，并确保所有现有插件都是最新的

3） 将WordPress更新至当前版本。认真地保持最新是很重要的。如果您落后于两个以上的主要版本，您将需要增量更新。（）

4） 更新后，通过FTP连接并查找比更新时旧的文件。寻找不应该存在的额外文件——这可能很棘手，因为被攻击的文件通常被命名为wp-shortcode-s.php。我通常会在FTP客户端旁边的窗口中打开一份WP核心文件的副本作为参考

5） 检查插件文件夹中php和js文件的前几行代码是否存在恶意代码。同样，您可能希望有一个新下载的插件副本来比较文件

6） 检查上载文件夹和子文件夹中是否存在恶意文件

我还在这里不断检查我被黑客攻击的网站，看看我做得怎么样：

---

当你完成后，你可能想了解如何强化WP以使其更难破解。

根据恶意软件的来源，很难给出准确的提示。你可以在谷歌上找到一些关于这个主题的更深入的讨论，下面是一些很好的例子，可以帮助你：

---

此外，如果您在共享主机上，则问题可能来自其他受损用户。希望您有一个干净的站点版本，这样就可以移动到其他主机（并升级）了。

我希望这些将通过Javascript附加到DOM中。请将您的PHP文件在服务器上的权限更改为只读。@p可能是这样，我怎么知道？如果像你说的那样加载，那意味着什么？我仍然无法知道哪个文件加载了它。@ThinkingMedia我认为这不起作用，但我可能错了。。。我认为PHP会生成一个“临时”文件，然后作为HTML源代码发送给用户。如果我错了，有人能纠正我吗？更改文件权限会有帮助吗？请尝试在WordPress中更改主题，或逐个禁用任何插件，并检查脚本加载（首先备份数据和当前主题）