张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

不经意看到了哼哼猪的 《博主们注意了!赶快检查下你的WordPress 里面是否包含恶意代码》一文,就好奇的检查了一下,结果。。。尼玛居然还真中招了!难怪老是觉得WP的后台卡卡的,一点都不流畅!而且后台提交文章经常会出现502或503的无法打开页面!估计就是这玩意在作祟!

下面内容摘自原文:

代码太长放到下面,先说说此段代码的来源和危害:

此段代码来源一般是在WordPress 主题里面自带,可能免费主题、破解主题或者收费主题,大家也不能完全抱怨主题作者,因为代码可能也不是他主动添加的,可能是他在调试其他主题是感染上的。

再来大概说说它的工作原理,首先它会存在某一主题里面,当你启用调试此主题时,这段代码可以通过遍历获得你主题目录下的所有主题里面的functions.php,并在functions.php文件结尾处的最后一个“?>”处自动添加下面的恶意病毒代码,如果恶意病毒代码添加成功,它会发送你博客的url地址到livethemas@gmail.com(可能大家没看到这个邮箱地址的添加位置,这就是它的巧妙之处,它将email地址拆分转义,然后用多重变量引用,下面的代码我已经用红色标注出了此email地址)

危害:单单从这段代码来说,也没什么大的问题,不过因为已经感染此代码且感染网址也发给了恶意病毒代码散播者,这样你的网站可能就会有选择成为下一步攻击目标。另外如果下面的代码不完整或者你的Mysql 有一些安全限制会导致下面代码的一些项添加不完整,导致网站打开错误,其实这也是发现问题所在的原因。

小技巧:当你制作或使用一个安全主题时,你可以在functions.php文件结尾处的最后一个“?>”前添加上“//所有设置已完成”,这样如果被而已添加就能很快发现!

 

如何清除此段恶意病毒代码呢:

清理也很简单,直接在functions.php文件里面找到下面的代码删除即可,但因为一旦感染会导致你themes 主题目录所有主题都感染,因此你只清除当前使用主题是无效的,你清除后很快就会生成,因此你清除掉一个主题的代码后,把functions.php 文件设置为444权限,然后再清理其他主题即可。至于最后functions.php 文件的444权限是否需要改回去,个人建议444挺好挺安全的,等要修改的时候再修改就行了。

 

functions.php里面的恶意病毒代码实例如下可能会有些差异,但基本代码是相同的):

这些代码存在于wp-content/themes下的所有主题的所有functions.php文件里。

通常以下面这些函数特征出现:

现场说法:

我在检查后台主题functions.php时发现,我的博客居然也被感染了!

首先在知更鸟主题中发现大段的恶意代码,鸟哥做主题的时候明显是加上了{全部结束}的注释。后面的多余的内容我还一直以为是WP自己给加上的。。。。

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

然后,我打开了手机主题 Mobile pack的functions.php看了下,发现居然也有!看来真是有传染性:

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

二话不说,果断删除全部恶意代码:

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

检查无误后,我开始做预防措施。将2个主题的functions.php的权限设置为444,只允许读取,不允许写入:

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

恶意代码风波到此就告一段落了!看来以后不能随便测试主题了!像哼哼猪说的一样:大家也不能完全抱怨主题作者,因为代码可能也不是他主动添加的,可能是他在调试其他主题是感染上的。

我记录这篇博文的主要目的就是为了提醒和我一样不知情的Wordpress菜鸟站长,赶紧检查一下你的WP是不是被注入饿了恶意代码!我敢说,不知情的博主,感染率估计能有80%以上!尤其是经常换主题的博客!各位博友,赶紧检查下自己的博客,有则删之,无则预防!

发表评论

gravatar

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen:

刷新评论

目前评论:53   其中:访客  34   博主  19

  1. 梅春喜个人博客 4 来自天朝的朋友 未知浏览器 Unknow Os 广东省广州市增城区 电信

    过来赞一个

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      你的也是WP,你不看下有没有被插入恶意代码?

  2. Alick.Li 4 Singapore 未知浏览器 Unknow Os 新加坡 电信SINGNET

    这个必须要顶!!!赶快检查下。。。

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      我觉得80%以上的都被嵌入恶意代码了,而像我和你这样喜欢换主题的更是接近100%。。。

      • Alick.Li 4 Singapore 未知浏览器 Unknow Os 新加坡 电信SINGNET

        我没有被嵌入…

        • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

          看来是我RP不好。。

          • mixiuya 1 来自天朝的朋友 谷歌浏览器 Windows 7 天津市 电信

            我就有这么一大段,起初还以为是自己加的 :shock: ,可实在是想不起来在哪加的了,一查原来如此。知道这是因为什么加上去的吗?我都是直接编辑网站上的文件的,本来记事本上的排版还好,有一次保存后记事本都没关直接就变成全横的了。然后就坏了

          • mixiuya 1 来自天朝的朋友 谷歌浏览器 Windows 7 天津市 电信

            最后我直接换的function.php

  3. ▲ AgoHost便宜主机,PW域名9.9元 1 来自天朝的朋友 未知浏览器 Unknow Os 广东省汕尾市 电信

    真得检查下 评论” alt=”[吃惊]” title=”[吃惊]” class=”ds-smiley” />

  4. 梦轩丽人 6 来自天朝的朋友 未知浏览器 Unknow Os 广西南宁市 电信

    经检查,幸好我的都没有出现!

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省广州市花都区 电信

      赶紧把functions.php的权限设置为444,预防。

      • 梦轩丽人 6 来自天朝的朋友 未知浏览器 Unknow Os 广西南宁市 电信

        不知道是不是我技术问题,我这个主题在后台根本就没有编辑功能,想修改只能下载下来修改,所以不管它了。我也不想折腾主题了。

        • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省广州市花都区 电信

          评论” alt=”[吃惊]” title=”[吃惊]” class=”ds-smiley” /> 编辑按钮好像是主题作者定义的,你的主题是自己做的,所以没有,可以网上搜下WP主题制作教程,把编辑功能加上即可。

          • 梦轩丽人 6 来自天朝的朋友 未知浏览器 Unknow Os 广西南宁市 电信

            有机会再弄,我现在很少改动,就是今天改了一些页码,以后修改就更少了。不想再折腾了。

  5. 萌妹 6 来自天朝的朋友 未知浏览器 Unknow Os 湖北省武汉市 鹏博士长城宽带

    评论” alt=”[泪]” title=”[泪]” class=”ds-smiley” /> 还没检查 代码能力有点差

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省广州市花都区 电信

      呃。。非常明显的,就是functions.php下面。。找相关的函数,如果有,那么表示中招了

      • 萌妹 6 来自天朝的朋友 未知浏览器 Unknow Os 湖北省武汉市 鹏博士长城宽带

        好吧 我对照你的例子看看

  6. 龙三公子 6 来自天朝的朋友 未知浏览器 Unknow Os 江西省南昌市 电信

    还好我的不是wp

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      嗯,哈哈

  7. PHP二次开发 6 来自天朝的朋友 未知浏览器 Unknow Os 山东省济南市 联通

    为嘛刚才我电脑进的首页,却是进的手机版?

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      服务器硬盘cache有点问题,主机商在修复。

  8. 三日月 6 来自天朝的朋友 未知浏览器 Unknow Os 上海市 电信

    这个搞不懂,怎么会中招的。我的不知道有没有中招

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      估计中招了,我用的主题,你也用了。。

  9. APP雄起 7 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

    代码能力太差劲了,我得对着你的图看看

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      直接搜索试试,我后面给了一些特征码。

  10. APP雄起 7 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

    貌似没有找到

  11. 2 来自天朝的朋友 未知浏览器 Unknow Os 广东省珠海市 电信

    还没注意过这个问题。

  12. 小鱼儿的家 3 来自天朝的朋友 未知浏览器 Unknow Os 湖北省襄阳市 电信

    刚刚查了下,我也中招了

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      中招概率较高。

  13. 中网科技周鑫 1 来自天朝的朋友 未知浏览器 Unknow Os 安徽省合肥市 电信

    好博客,欢迎回访,提供虚拟主机,服务器托管租用,云服务器等业务

  14. 台佳佳.中国 3 这家伙可能用了美佬的代理 未知浏览器 Unknow Os 美国 加利福尼亚州圣克拉拉县山景市谷歌公司

    赶紧回去找找看…

  15. 台佳佳.中国 3 这家伙可能用了美佬的代理 未知浏览器 Unknow Os 美国 加利福尼亚州圣克拉拉县山景市谷歌公司

    我的没有,其实有新版本立即更新就可以避免了吧。

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      这个是主题带有的恶意代码,还会传染给其他主题,WP更新了都没有用。
      另外,你的链接没法设置么?

      • 台佳佳.中国 3 来自天朝的朋友 未知浏览器 Unknow Os 北京市 北京市

        没办法 多说似乎不行

  16. leiboy 5 来自天朝的朋友 未知浏览器 Unknow Os 北京市西城区 联通

    搞不懂这样做对放恶意代码的人有什么好处

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      听说是窃取一些信息,发送到指定邮箱。。不过没发现进一步动作。

      • leiboy 5 来自天朝的朋友 未知浏览器 Unknow Os 北京市西城区 联通

        要是我写这个,我就写潜伏代码,等博客流量大了就给弹窗,哈哈哈哈 评论” alt=”[阴险]” title=”[阴险]” class=”ds-smiley” />

        • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

          这个可以有。 评论” alt=”[给力]” title=”[给力]” class=”ds-smiley” />

          • leiboy 5 来自天朝的朋友 未知浏览器 Unknow Os 北京市西城区 联通

            你很坏啊 评论” alt=”[汗]” title=”[汗]” class=”ds-smiley” />

  17. 开心一刻笑话 4 来自天朝的朋友 未知浏览器 Unknow Os 江苏省苏州市 电信

    这个我倒是没发现呢

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 联通

      有则删之,无则预防~记得把那个文件的权限设成444即可

  18. 糯米汇 5 来自天朝的朋友 未知浏览器 Unknow Os 四川省巴中市 电信

    我也找到了,但是不知道该删除哪里,没找到你删除的那个内容

    • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 电信

      你找到了?你可以吧function发到群共享,我帮你看看。

      • aoi设备胡 0 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 电信

        请问群是多少?我也发上来帮我看看。

        • 张戈 [博主] 来自天朝的朋友 未知浏览器 Unknow Os 广东省深圳市 电信

          344134224

  19. yyyyyyyhb 1 来自天朝的朋友 谷歌浏览器 Windows 8.1 湖南省 铁通

    我的班级官网愉快地中招了

  20. 倾城 1 来自天朝的朋友 谷歌浏览器 Windows XP 广东省深圳市 电信

    感谢博主!好恐怖,我说为什么我的模板函数多了一大堆莫名其妙的代码!发现你上面列举的函数特征我每条都有。再也不敢乱装主题了!(我有乱试主题的习惯)

    • 张戈 [博主] 来自天朝的朋友 谷歌浏览器 Windows 8.1 广东省深圳市 电信

      安装新主题之前,检查一下新主题functions下有没有恶意代码就好了。有的话就会传染给其他主题。

  21. 友邻阅读 3 来自天朝的朋友 谷歌浏览器 Windows 7 江苏省苏州市 电信

    请教,删除后,页面出现空白页

    • 张戈 [博主] 来自天朝的朋友 QQ浏览器 Windows 7 广东省广州市 电信

      把原始的functions.php发我邮箱看看,ge@zhangge.net

  22. 回忆如烟 3 来自天朝的朋友 谷歌浏览器 Windows 8.1 河北省石家庄市 电信

    昨天发现也中招了 我虽然不懂PHP代码 但是我知道 一个PHP文件完全没有必要写2次开关

    百度一下 我才知道 不知道哪个死全家的弄的这个代码 坑爹

  23. 语墨部落(www.yumoblog.com) 1 来自天朝的朋友 QQ浏览器 Windows 7 广东省东莞市 联通

    受教了,以后用网上下载的主题都要慎重啊

  24. 大碗哥 2 来自天朝的朋友 谷歌浏览器 Windows 7 广东省惠州市 电信

    刚刚看到这篇文章,感谢博主提醒。整个网站都很不错,到处都是学习的精华,为你点赞

加载中,请稍候...