我遇到了一个涉及 WP 环境中的恶意软件的问题。当我在 Google 中搜索品牌并单击相应链接时,我被重定向到第三方垃圾邮件站点。
这种情况已经发生了一段时间(超过一周),但我的网站尚未被列入 Google 的黑名单。此外,像 Norton Safeweb 等网站扫描程序都声称该网站没有受到威胁。
我发现并删除了一些可疑的 PHP eval() 函数,然后在我的页面和数据库中搜索并替换了任何剩余的代码。在该网站被 Google 清除为非黑名单状态后,我认为一切都结束了,运行更新并采取了许多措施来保护该网站免受未来的感染。
但问题仍然存在。
【问题讨论】:
标签: wordpress redirect base64 eval malware
域名服务器是否曾被恶意软件或攻击者更改过? Google 可能为您的域提供了错误的 DNS 信息,并认为它托管在上述垃圾邮件站点上?将您的网站重新提交给 Google 或将问题报告给他们以解决(也可能会在下次 Google 尝试抓取您的域时自动解决)?
这是一个我以前也没有见过的奇怪问题,你看过根目录下的 .htaccess 文件了吗?这也可能有一个重写条件,即如果引荐来源是 Google,则将您重定向到垃圾邮件站点。
【讨论】:
解决了这个问题。在发生这种情况时,这种重定向攻击是相当新的。
从 Google 搜索或 Bing 传递引荐来源数据的访问者的 HTTP 请求有时会被重定向。
通过仅针对来自搜索的用户,网站管理员或网站所有者不太可能看到问题(直到收到第三方通知),同时仍然操纵相当数量的流量(50% of traffic 对于大多数网站来说来自搜索引擎)。
当我在 2012 年最初发布这个问题时,这种攻击是新的,因为重定向是在服务器端提供的(直接在一个单独的 PHP 文件中,而不是通过 .htaccess),来自扫描仪的恶意软件签名没有检测到这一点。
运行Maldetect(使用更新的数据库)是隔离此问题并分析恶意软件造成的损害程度的最佳方法。
【讨论】:
grep 搜索数据库或使用恶意软件扫描程序。你试过 Maldetect 吗?现在有点过时了,不过还是能找到源头的。
这个问题似乎是由于 wp-vcd Malware 创建了流氓 WordPress 管理员用户并注入了垃圾邮件链接。我遇到了类似的问题,按照这些步骤解决了。
您应该检查和删除的文件:
wp-feed.php
wp-vcd.php
wp-tmp.php
class.theme-modules.php的多个副本,和
去掉所有functions.php文件开头的一堆代码。
有关此问题的详细信息,您可以在以下链接中找到...
https://wordpress.org/support/topic/wp-feed-php/
【讨论】:
wp-feed、@ 987654327@ 和 wp-tmp 不再被感染。最好在整个环境中识别恶意软件签名(在您看到的所有实例中都出现的恶意软件独有的东西)和grep。或者您可以使用恶意软件扫描程序(尽管最近 Maldetect 似乎有点维护不足)。