0

症状:

  • 一些奇怪的链接到不同的购物网站插入首页
  • mydomain.com/page_name=XYZ&id=123 重定向到不同的购物网站(通过评论提示)

已经尝试过:

  • 在 footer.php 中找到 PHP 条目 eval(base64_decode('ICRmZl9vdXRsaW5rX2ZpbGVf...),它负责一些奇怪的链接注入 --> 删除了
  • 文件和数据库搜索“eval”、“page_name”和其他可疑关键字 --> 没有发现明显错误的东西

但肯定有更多的后门

带有 page_name 和 id VARS(症状)的提示是由匿名评论带来的(奇怪?)

有人遇到同样的问题或知道解决方案吗?

4

2 回答 2

2

那很奇怪!我建议通过 shell 搜索具有大哈希字符串的文件:

find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]\{400\}'

那会给你一个清单。在我的情况下,我的根文件夹中有一个文件 include.class.php,它包含很多后门。更多文件(带有加密名称)位于我的 wp-includes/ 文件夹中。他们似乎负责创建后门文件。删除后门文件和加密!

玩得开心 :)

于 2012-06-06T17:42:14.123 回答
0

检查Wordpress Codex: Help I think I have been hacked。这是您将找到的最佳建议。

于 2012-06-06T15:56:06.947 回答